ZAGOTAVLJANJE VAROVANJA OSENIH PODATKOV V … · Zakaj informacijska varnost? Dobra informacijska varnost je takrat, ko se ne zgodi nič slabega, in ko se nič slabega ne zgodi, kdo

REPUBLIKA SLOVENIJA UNIVERZA V MARIBORU

EKONOMSKO-POSLOVNA FAKULTETA MARIBOR

Magistrsko delo

ZAGOTAVLJANJE VAROVANJA OSEBNIH PODATKOV V INFORMACIJSKIH SISTEMIH V ZAVAROVALNICAH

Ensuring the protection of Personal Data in Information Systems in Insurance companies

Kandidat: Sabina Velički

Študijski program: Ekonomija in poslovne vede

Študijska usmeritev: Poslovna informatika

Mentor: red. prof. dr. Samo Bobek

Študijsko leto: 2015/2016

Maribor, april 2016

ZAHVALA

Iskrena hvala mentorju red.prof.dr.Samu Bobku za pomoč in usmeritve pri pisanju magistrske naloge.

i

POVZETEK

Za varnost osebnih podatkov v organizacijah je potrebno poslovne procese in sisteme prilagoditi tako, da bomo lahko dosledno varovali ta hip »najbolj vroče blago na trgu«, kot osebne podatke mnogi radi poimenujejo. Da lahko delujemo skladno in po vseh predpisih, je osnova za vpeljavo varstva osebnih podatkov dobra varnostna politika in pravila, katera veljajo za vse udeležence v procesu, od najbolj preprostih uporabnikov do vodstvenih delavcev in uprav organizacij. Vpeljava informacijske varnosti ni projekt, ki se zaključi, temveč proces, ki se mora nenehno izboljševati. Kako ta proces vpeljemo, kateri so najprimernejši standardi in kaj pomenijo osebni podatki v zavarovalništvu, bomo predstavili v tej raziskovalni nalogi. Ogledali si bomo model vpeljave in primer v zavarovalništvu, primere aplikacijske podpore in varovanje osebnih podatkov ter informacijsko varnost v nekaterih slovenskih zavarovalnicah. Izvedli bomo tudi analize teh primerjav.

Ključne besede:

Zakon o varstvu osebnih podatkov, Informacijska varnost, ISO/IEC27001, Obdelava osebnih podatkov, Informacijski sistem, Nadzor nad osebnimi podatki.

ABSTRACT

To secure personal data in organizations it is necessary to provide business processes and systems for security, so that we can consistently protect the personal data or as some like to call it “the hottest commodity on the market”. To be able to operate in accordance and under all regulations, a set of security policy rules must be implemented and followed by all from simple users to top managers. The introduction of information security is not a project to be completed, but a process that must be continuously improved. How this process is introduced, which are the most appropriate standards and the importance of personal data in insurance industry, will be presented in this research project. We will show the model of introduction and example in the insurance industry, examples of application support and protection of personal data and information security in some Slovenian insurance companies. We will also carry out the analysis of these comparisons.

Key Words:

Personal Data Protection, Information Security , ISO / IEC27001 , The processing of Personal Data, Information System, Control over Personal Data.

ii

KAZALO

1 UVOD _________________________________________________________________________________ 1 1.1 Opis področja in opredelitev problema _______________________________________________ 1 1.2 Namen, cilji in hipoteze raziskave ___________________________________________________ 3 1.3 Predpostavke in omejitve __________________________________________________________ 4 1.4 Predvidene metode raziskovanja ____________________________________________________ 5

2 VARSTVO OSEBNIH PODATKOV __________________________________________________ 6 2.1 Informacijska varnost _____________________________________________________________ 6 2.2 Varstvo osebnih podatkov _________________________________________________________ 9

2.2.1 Pravica do zasebnosti _________________________________________________________ 9 2.2.2 Nadzor ___________________________________________________________________ 10 2.2.3 Varovanje osebnih podatkov __________________________________________________ 11

2.3 Vloga Informacijskega pooblaščenca Republike Slovenije _______________________________ 12 2.4 Vrste osebnih podatkov v podjetju _________________________________________________ 14 2.5 Obdelava osebnih podatkov _______________________________________________________ 15 2.6 Katalogi osebnih podatkov ________________________________________________________ 16 2.7 Informacijski sistemi in revizijske sledi ______________________________________________ 20

2.7.1 Informacijski sistemi _________________________________________________________ 20 2.7.2 Revizijske sledi _____________________________________________________________ 24

2.8 Standardi informacijske varnosti ___________________________________________________ 25 2.8.1 ISO/IEC 27001 ______________________________________________________________ 27 2.8.2 NIST ______________________________________________________________________ 30 2.8.3 COBIT ____________________________________________________________________ 33 2.8.4 ITIL ______________________________________________________________________ 34

3 STORITVE IN PROCESI ZAVAROVALNIC _______________________________________ 38

4 MODEL VZPOSTAVITVE VAROVANJA OSEBNIH PODATKOV V ZAVAROVALNICI ________________________________________________________________________ 43 4.1 Vzpostavitev procesa za zagotovitev poslovanja po načelih varovanja osebnih podatkov _____ 43

4.1.1 Načrtovanje procesa za zagotovitev poslovanja po načelih varovanja osebnih podatkov __ 43 4.1.2 Pravilnik o varstvu osebnih podatkov ___________________________________________ 44 4.1.3 Katalogi zbirk osebnih podatkov in operacijski predpisi o postopkih in ukrepih za varstvo zbirk osebnih podatkov __________________________________________________________________ 45 4.1.4 Pogodbe o obdelovanju osebnih podatkov s pogodbenimi izvajalci ___________________ 46

4.2 Vzpostavitev informacijske varnosti za zagotovitev delovanja po načelih varovanja osebnih podatkov ___________________________________________________________________________ 47

4.2.1 Vzpostavitev informacijske varnosti_____________________________________________ 47 4.2.2 Zagotavljanje delovanja v skladu z varnostnimi politikami ___________________________ 53 4.2.3 Redni pregledi delovanja informacijskih sistemov _________________________________ 54 4.2.4 Obvladovanje vstopnih točk zbiranja osebnih podatkov ____________________________ 55

4.3 Nadgradnja informacijskega sistema ________________________________________________ 59 4.3.1 Programska oprema _________________________________________________________ 61

4.4 Obveznosti upravljavcev osebnih podatkov __________________________________________ 66

5 ANALIZA POSLOVANJA V SKLADU Z NAČELI VAROVANJA OSEBNIH PODATKOV V ZAVAROVALNICAH ____________________________________________________ 67 5.1 Analiza zagotavljanja skladnega obdelovanja osebnih podatkov v zavarovalnicah ___________ 67

5.1.1 Analiza zavedanja pomembnosti varovanja osebnih podatkov in poznavanje ZVOP-1 v zavarovalnicah _____________________________________________________________________ 67

iii

5.2 Analiza posameznih vrst osebnih podatkov ter varovanje in obvladovanje dostopov _________ 68 5.3 Analiza obvladovanja sistema informacijske varnosti ___________________________________ 70

6 SKLEP ______________________________________________________________________________ 73

LITERATURA IN VIRI __________________________________________________________________ 75

PRILOGE ________________________________________________________________________________ 81

KAZALO SLIK

SLIKA 1 : ISO 17799:2005 VARNOSTNI MODEL ............................................................................................ 7 SLIKA 2: ORGANIGRAM INFORMACIJSKEGA POOBLAŠČENCA ................................................................... 13 SLIKA 3: POSTOPEK VNOSA ZBIRKE ............................................................................................................ 19 SLIKA 4: VPIS ČRTNE KODE PODJETJA ........................................................................................................ 20 SLIKA 5: STRATEŠKI INFORMACIJSKI SISTEM .............................................................................................. 21 SLIKA 6: MODEL ISO 27001 ........................................................................................................................ 28 SLIKA 7: ŠTEVILO CERTIFICIRANIH ORGANIZACIJ MED LETI 2006 IN 2014 PO RAZLIČNIH PODROČJIH SVETA

.......................................................................................................................................................... 29 SLIKA 8: POGLAVJA PO ISO/IEC 27002 ....................................................................................................... 30 SLIKA 9: VZPOSTAVITEV VARNOSTI IZ OSNOV (OKVIR ZA OBVLADOVANJE TVEGANJ). .............................. 30 SLIKA 10: MODEL NIST ............................................................................................................................... 32 SLIKA 11: UPRAVLJANJE IT ......................................................................................................................... 34 SLIKA 12: MODEL ITIL ................................................................................................................................. 35 SLIKA 13: RAZVOJ ITIL-A PO LETIH.............................................................................................................. 35 SLIKA 14: ŽIVLJENJSKI CIKEL ITIL ................................................................................................................ 36 SLIKA 15: SUBJEKTI ZAVAROVALNEGA TRGA .............................................................................................. 40 SLIKA 16: PRVINE ZAVAROVALNE STORITVE ............................................................................................... 41 SLIKA 17: GANTTOV DIAGRAM .................................................................................................................. 44 SLIKA 18: KOMPONENTE INFORMACIJSKE VARNOSTI ................................................................................ 48 SLIKA 19: PROCESNI PRISTOP VZPOSTAVITVE SISTEMA VAROVANJA INFORMACIJ .................................... 49 SLIKA 20: PIRAMIDNA STRUKTURA DOKUMENTOV V SISTEMU VAROVANJA INFORMACIJ ....................... 49 SLIKA 21: FAZE NAČRTOVANJA SISTEMA VAROVANJA INFORMACIJ .......................................................... 50 SLIKA 22: BULL'S EYE METHOD .................................................................................................................. 51 SLIKA 23: IZVAJANJE ZAVAROVALNIH STORITEV ........................................................................................ 55 SLIKA 24: STRUKTURA ZAVAROVALNE POLICE ........................................................................................... 56 SLIKA 25: POENOSTAVLJEN PRIMER OBRAZCA ZA PRIJAVO ZAVAROVALNEGA PRIMERA .......................... 57 SLIKA 26: MODEL KOMUNIKACIJE IN DOSTOP DO PODATKOV PRI PRIJAVI ŠKODE .................................... 58 SLIKA 27: MOŽNE KRŠITVE PODATKOVNIH NOSILCEV V % ......................................................................... 61 SLIKA 28: OGROŽENI TIPI PODATKOV ......................................................................................................... 62 SLIKA 29: OBVLADOVANJE ZAHTEV NADZORA ........................................................................................... 62 SLIKA 30: NADZOR NA PODATKOVNIMI BAZAMI Z INFOSPHERE GUARDIUM ............................................ 64 SLIKA 31: PRIKAZ SLEDLJIVOSTI DELU UPORABNIKOV Z GUARDIUMOM ................................................... 64 SLIKA 32: REŠITVE SMARTIS ....................................................................................................................... 65

KAZALO TABEL

TABELA 1: EVIDENCA PODATKOV V KATALOGU .......................................................................................... 17 TABELA 2: PREMIJE IN ODŠKODNINE PO LETIH V SLOVENIJI ...................................................................... 39

iv

TABELA 3: TRŽNI DELEŽI ČLANIC SZZ GLEDE NA ZBRANO PREMIJO V LETU 2014 (V%) .............................. 40 TABELA 4: SEZNAM VARNOSTNIH POLITIK ................................................................................................. 52

SEZNAM OKRAJŠAV

ZVOP-1 Zakon o varstvu osebnih podatkov Ur. l. RS Uradni list Republike Slovenije EU Evropska Unija ZZavar-1 Zakon o zavarovalništvu AZN Agencija za zavarovalni nadzor SZZ Slovensko zavarovalno združenje

1

1 UVOD

1.1 Opis področja in opredelitev problema

Z razvojem informacijskih dobrin je na pomembnosti pridobila tudi informacijska varnost (Peltier, 2014), (Caballero, 2009). K temu so pripomogli tudi številni varnostni incidenti (Whitman & Mattord, 2011).

Zakaj informacijska varnost? Dobra informacijska varnost je takrat, ko se ne zgodi nič slabega, in ko se nič slabega ne zgodi, kdo potem sploh potrebuje informacijsko varnost, se upravičeno sprašujeta Calder in Watkins (Calder & Watkins, 2010).

Pa vendar, da bi lahko dosegli visok nivo informacijske varnosti, si pri zasnovi in vzpostavitvi le-te podjetja lahko pomagajo z različnimi standardi, priporočili in primeri dobrih praks, kjer so omenjene naslednje dobre prakse: COBIT, ITIL in serija standardov ISO/IEC 27000 (Brezavšček & Moškon, 2010).

Opravljena raziskovanja v literaturi potrjujejo, da zagotavljanje varnosti v velikih organizacijah zahteva sistematičen pristop in sicer s vpeljavo sistema za upravljanje informacijske varnosti (Brezavšček & Moškon, 2010). Tudi Calder in Watkins (2010) sta prišla do naslednjih izsledkov glede nujnosti vpeljave sistema informacijske varnosti zaradi tega, ker so podjetja v vedno večji meri izpostavljena grožnjam ravno glede zaupnosti, razpoložljivosti in celovitosti dobrin informacijskega sistema.

Dosedanji informacijski varnostni incidenti in naraščajoče odvisnost od interneta so vzpodbudili vlade po vsem svetu, da sprejmejo dodatno zakonodajo, ki bi urejala t.i. tehnološki ekosistem, od zasebnosti potrošnikov do specifičnih določb za industrije, tudi zavarovalništvo (Egan, 2005, str. 16) .

Informacijsko varnost kot zaščito vseh informacijskih sistemov pred nepooblaščenimi dostopi ali modifikacijami informacij, tudi v shranjeni obliki, v procesu ali pri prenosu. Prav tako se informacijska varnost nanaša na zaščito pred zatajitvijo delovanja pooblaščenim uporabnikom in zagotovitvijo delovanja pooblaščenim uporabnikom in vključuje vse ukrepe za odkrivanje, dokumentiranje in zavračanje groženj informacijske varnosti (Hayden, 2003, str. 33).

Del informacijske varnosti je varovanje osebnih podatkov in za zavarovalnice velja Zakon o zavarovalništvu, ki kot krovni zakon ureja področje zavarovalništva v Republiki Sloveniji in ureja pridobivanje, vodenje in uporabo zbirk osebnih podatkov. Zakon tudi določa, da lahko zavarovalnice zbirajo, obdelujejo, shranjujejo, posredujejo in uporabljajo osebne podatke, potrebne za sklepanje zavarovanj in za likvidacijo škod, ki izvirajo iz zavarovanj po tem zakonu, v skladu z zakonom, ki ureja varstvo osebnih podatkov in posebnimi predpisi o zbirkah podatkov s področja zavarovanja in tako vzpostavijo, vzdržujejo in vodijo zbirko podatkov o zavarovancih, zavarovalcih, o škodnih dogodkih in zbirko podatkov za presojo zavarovalnega kritja in višine odškodnine (ZZavar-1, 2015, str. 268.člen).

2

Evropski parlament je že leta 1995 sprejel direktivo (Evropska direktiva 95/46/EC, 1995) za zaščito posameznikov s poudarkom na obdelavi osebnih podatkov in zagotovitev varstva osebnih podatkov v državah članicah na nivoju Evropske unije.

Osebni podatki se lahko po zakonodaji EU zakonito zbirajo samo pod strogimi pogoji in

za legitimne namene. Vse organizacije ali osebe, ki zbirajo osebne podatke, jih

obdelujejo in z njimi upravljajo, morajo obvezno te podatke zaščititi pred zlorabo in

spoštovati določene pravice imetnikov podatkov. Prav tako so bila postavljena skupna

pravila EU, ki zagotavljajo visok standard varstva osebnih podatkov po celotni EU ravno

zaradi pretoka osebnih podatkov in mednarodnih izmenjav na področju EU. Če pride

do zlorabe naših osebnih podatkov kjer koli na področju EU, imamo pravico do

pritožbe in odprave posledic zlorabe (povzeto po Evropski komisiji, pravosodje, marec

2016) (Justice and Fundamental Rights). Če bi bila pravila po posameznih državah

članicah nasprotujoča, posamezniki ne bi bili prepričani o varnosti osebnih podatkov v

tujih državah in tako ne bi želeli svoje podatke posredovati v tujino.

V Sloveniji je sprejet Zakon o varstvu osebnih podatkov (ZVOP-1) leta 2004, in njegova določila veljajo na vseh področjih poslovanja. Namen zakona je zaščititi posameznika, preprečiti neupravičen in nedovoljen vdor v njegovo zasebnost in dostojanstvo, ter določiti ukrepe za preprečitev teh dejanj. Zato zakon predpisuje natančne postopke obdelave osebnih podatkov in postavlja meje dovoljenega in dopustnega, prav tako pa izrecno prepoveduje posamezne aktivnosti v zvezi z obdelavo osebnih podatkov, ki nimajo jasno določenega namena.

Najprej je potrebno razjasniti, kaj je osebni podatek in kaj obdelava osebnih podatkov pomeni. Besedi »osebni podatek« ne pomenita le ime in priimek posameznika, ter naslov in datum rojstva. Pomen je zelo širok, in sicer gre za katerikoli podatek, povežemo s posamezno osebo. Tudi obdelava osebnih podatkov pomeni kakršno koli delovanje v zvezi z osebnimi podatki (vpis, vpogled, spreminjanje,izbris) (ZVOP-1, 2016).

Da lahko zagotovimo popolnoma skladno delovanje z zahtevami zakona o varovanju osebnih podatkov, moramo imeti v podjetju dobro razvito informacijsko varnost. Zato se podjetja zaradi velike odvisnosti od računalniških tehnologij in odprtega delovanja organizacij za prepoznavanje in zmanjšanje varnostnih tveganj odločajo za vpeljavo informacijske varnosti (IT Governance Institute).

To je izziv za vsako podjetje, predvsem pa za večje finančne inštitucije kot so zavarovalnice, kjer se dnevno obdeluje enormna količina osebnih podatkov v elektronski, v manjšem obsegu pa tudi v fizični obliki. Pretežno elektronsko poslovanje v zavarovalništvu, kjer se v veliki meri obdelujejo osebni podatki strank (tudi občutljivi osebni podatki o zdravstvenih stanjih) ter potrebno povezovanje zavarovalnic z drugimi institucijami in podjetji (sodišča, slovensko zavarovalno združenje, banke, idr.) in izmenjava podatkov z navedenimi institucijami, vse to narekuje visoko raven vzpostavitve informacijske varnosti. To tudi potrjujejo mnenja in odločbe s področja zavarovalništva na spletni strani informacijskega pooblaščenca (Informacijski pooblaščenec).

3

V izogib nedovoljenim poslovnim potezam in nedovoljenemu obdelovanju osebnih podatkov bomo v nadaljevanju naloge pregledali potrebna pravila in model vzpostavitve celotnega sistema obvladovanja osebnih podatkov v zavarovalnicah po načelu zakonitosti, poštenosti in sorazmernosti.

V zavarovalništvu pa obstaja tudi kolizija interesov: interes posameznika za čim večji zaslužek na eni strani in interes zavarovalnice za ugotovitev dejanskega stanja in čim nižje izplačilo zavarovalnine in skupna točka obeh sta zakon o varstvu osebnih podatkov in zakon o zavarovalništvu (Mišič, 2013).

Ključnega pomena za delovanje podjetja skladno z zakonskimi zahtevami varovanja osebnih podatkov primerna vzpostavitev sistema upravljanja varovanja informacij, ki zagotavlja hitro in učinkovito odzivanje na varnostne incidente in tako omogoča nemoteno in neprekinjeno delovanje organizacije. Sistem upravljanja varovanja informacij zagotavlja zaupnost, celovitost in razpoložljivost informacij z uporabo procesa za obvladovanje tveganj, povzeto po ISO 27001 (Slovenski institut za standardizacijo, 2013).

Kontrolni sistem dostopov do sistemov in zbirka mehanizmov, ki omogočajo dostope do sistemov, so ključnega pomena pri vodenju zahtev glede funkcionalnosti: kaj uporabnik sme delati na sistemu oz. katere operacije sme izvajati in do katerih podatkov sme dostopati (Tipton & Krause, 2006).

1.2 Namen, cilji in hipoteze raziskave

Namen

Namen magistrskega dela je raziskati področje varstva osebnih podatkov in postaviti koncept vpeljave vseh potrebnih postopkov pri poslovanju v zavarovalništvu v skladu z zahtevami zakona o varovanju osebnih podatkov, s katerimi bi obvladovali tveganja nepooblaščene obdelave osebnih podatkov. V raziskavi bomo opozorili na prednosti in slabosti postopkov, ki jih vpeljujemo zaradi zagotavljanja poslovanja v skladu z zakonom o varstvu osebnih podatkov.

Cilji

Cilji teoretičnega dela magistrskega dela so bili naslednji:

Pregled in izvedba potrebnih delovnih postopkov za delovanje podjetja v skladu z zakonskimi zahtevami, pri izvajanju osnovne dejavnosti zavarovalništva kakor tudi s stališča informacijske podpore.

Opozoriti na ključni dejavnik pri izvedbi procesa vpeljave poslovanja v skladu z zakonskimi zahtevami. To je delovanje podjetja po sistemu upravljanja informacijske varnosti ter v skladu s tem sistemom upravljanja informacijske varnosti vršiti dovoljeno obdelavo osebnih podatkov v kateri koli fazi procesa poslovanja. Cilji empiričnega dela magistrske naloge so bili naslednji:

4

na osnovi dejstev in zahtev za varovanje osebnih podatkov pripraviti model uvajanja varovanja osebnih podatkov v zavarovalnicah.

primerjati različne zavarovalnice v Sloveniji in ugotoviti njihov koncept obvladovanja varstva osebnih podatkov in informacijske varnosti

V magistrski nalogi bomo preverjali 3 hipoteze:

H1 – Omejevanje pristopa do atributov posameznih entitet v podatkovni bazi, ki temelji na sistemu »vlog« (DBMS roles) zagotavlja le izhodiščno raven stopenjskega modela varnosti osebnih podatkov. Hipotezo bomo preverili z metodo raziskave primera (angl. Case Research), tako da bomo izbrali sogovornike iz različnih zavarovalnic s področja informacijske tehnologije, s katerimi bomo izvedli strukturirane intervjuje na osnovi vnaprej pripravljenih vprašanj in pripravili raziskavo načinov varovanja osebnih podatkov s primerjavo objavljenih podatkov na spletni strani Informacijskega pooblaščenca Republike Slovenije.

H2 – Višje ravni stopenjskega modela varnosti osebnih podatkov je mogoče doseči le z modularno informacijsko prenovo poslovnih procesov, ki temelji na konceptu ITIL storitvene arhitekture računalniških rešitev in upošteva strukturiranje aktivnosti strežbe in aktivnosti podpore.

Hipotezo bomo preverili z metodo raziskave primera (angl. Case Research), tako da bom v izbrala sogovornike iz različnih zavarovalnic s področja informacijske tehnologije, s katerimi bomo izvedli strukturirane intervjuje na osnovi vnaprej pripravljenih vprašanj.

H3 – Za zagotavljanje varnosti osebnih podatkov je med standardi, ki urejajo informacijsko varnost, ISO standard 27001 bolj primeren kot ostali standardi.

Hipotezo bomo preverili z metodo raziskave primera (angl. Case Research), tako da bomo izbrali sogovornike iz različnih zavarovalnic s področja informacijske tehnologije, s katerimi bomo izvedli strukturirane intervjuje na osnovi vnaprej pripravljenih vprašanj.

1.3 Predpostavke in omejitve

Predpostavke

Predpostavljamo, da so podjetja v zavarovalništvu zaradi potreb po obvladovanju ogromnih količin osebnih podatkov in potreb po hitrem in učinkovitem poslovanju odvisna v veliki meri od dobro zastavljenih informacijskih sistemov in ročnega obdelovanja si v današnjem informacijskem svetu več ne znamo predstavljati. Zato se bomo omejili na elektronske zbirke osebnih podatkov in potrebno informacijsko podporo za zagotavljanje informacijske varnosti v zavarovalnicah.

Predpostavljamo, da je učinkovito in uspešno zagotavljanje varovanja osebnih podatkov v informacijskih sistemih v zavarovalnicah skladno s standardom ISO 27001.

5

Omejitve

Raziskavo učinkovitosti zagotavljanja varovanja osebnih podatkov v informacijskih sistemih in stalno izvajanje poslovanja v skladu z zakonskimi zahtevami v zavarovalnicah bomo izvedli v 4 zavarovalnicah na področju Slovenije , zato ne moremo izsledkov posploševati na celotno vejo zavarovalništva v Sloveniji.

1.4 Predvidene metode raziskovanja

Informacije bomo pridobili iz primarnih in sekundarnih virov.

Metode, ki jih bomo uporabili v prvem teoretičnem delu, so:

metoda deskripcije: opis teoretičnih pojmov na področju varovanja osebnih podatkov ter informacijske varnosti.

metoda kompilacije: z uporabo te metode bomo na podlagi različnih zapisov, spoznanj in stališč raznih avtorjev prišli do samostojnih zaključkov in spoznanj.

metodo komparacije: z uporabo te metode bomo primerjali zapise različnih avtorjev s področja informacijske varnosti.

Raziskava bo v teoretičnem delu obsegala pregledovanje:

strokovne literature (knjige, članki),

objavljenih člankov na internetu,

zakonodaje in standardov.

Metode, ki jih bomo uporabili v empiričnem delu raziskave (na osnovi pridobljenih spoznanj in ugotovitev iz teoretičnega dela), so:

metodo raziskave primera (angl. Case Research), s katero bomo preverjali hipoteze; za ta namen bom v različnih poslovnih področjih izbrala sogovornike, zaposlene v informacijski tehnologiji posameznih zavarovalnic,s katerimi bom izvedla strukturirane intervjuje na osnovi vnaprej pripravljenih vprašanj; na osnovi pridobljenih odgovorov bom izvedla še globinske intervjuje glede hipotez in glede vidikov varovanja osebnih podatkov in informacijske varnosti.

6

2 VARSTVO OSEBNIH PODATKOV

2.1 Informacijska varnost

Pomen informacijske varnosti in njen namen ter kako jo vzpostaviti, lahko prikažemo z različnimi tezami posameznih strokovnjakov, ki to področje intenzivno proučujejo.

Glavni izzivi zagotavljanja varnostnih mehanizmov v obstoječih informacijskih sistemih dobro ponazarja raziskava Egana, ki je med šest najpomembnejših varnostnih izzivov uvrstil naslednja področja (Egan, 2005, str. 6):

zahteve elektronskega poslovanja (internet je postal del poslovanja organizacij 24/7),

napadi na informacijsko varnost (varnostni incidenti, npr. zlonamerna koda),

nezrel trg informacijske varnosti (trg informacijske varnosti je še vedno v povojih, z nekaj obstoječih standardov),

pomanjkanje osebja za izvajanje informacijske varnosti (organizacije se ukvarjajo s svojimi poslovnimi procesi, informacijska varnost je nujno zlo, ni časa za izobraževanja)

državna zakonodaja (države imajo svoje regulative, medtem ko je razvoj elektronskega trga globalen),

mobilno delo in brezžične povezave (izzivi v izvajanju procesov se namreč kažejo v tem, da morajo biti le-ti prilagojeni delu na daljavo).

Albert Caballero je v svojih raziskavah in delih posvetil veliko časa osnovam informacijske varnosti za menedžerje in varovanju kritičnih sistemov. Informacijska varnost namreč vključuje varovanje organizacijskih sredstev pred uničenjem poslovnih podatkov ali modifikacijo občutljivih podatkov ali pred razkritjem informacij. Varovanje teh podatkov je navadno opisano kot vzdrževanje zaupnosti, integritete in razpoložljivosti poslovnih sredstev, obdelav in informacij.

Upravljanje informacijske varnost je kot področje v pridobivanju na pomembnosti in odgovornosti, kajti večina organizacij porabi vedno več odstotkov razpoložljivih sredstev za vlaganje v upravljanje tveganj. Prav tako je vedno večji trend v velikih podjetjih vlaganje v poslovanje v oblaku preko internetnih povezav, kar je zelo perspektivno in hkrati drago z vidika zaščite. Zaradi sodelovanja vseh organizacijskih enot v podjetju, je vloga varnostnega menedžmenta zelo pomembna z vidika zagotovitve varnega povezovanja in sodelovanja teh organizacijskih enot, prav tako je izrednega pomena izobraževanje zaposlenih. Varnost namreč ni problem Informacijske tehnologije, to je skupno delovanje celotnega poslovnega sistema neke organizacije.

Obseg upravljanja informacijske varnosti je ravno zato, ker informacijska varnost ni problem informacijske tehnologije, izredno velik in razširjen v vse poslovne enote organizacije. In vsaka organizacijska enota mora razumeti in reševati svoja varnostna vprašanja. V kolikor bi ostale organizacijske enote v podjetju vso informacijsko varnost prepustile samo upravljanju v informacijski tehnologiji in izključno tehničnemu varovanju informacijske infrastrukture, bi zelo hitro prišlo do lažnega občutka varnosti v

7

podjetju, kar bi lahko vodilo v nepredvidena razkritja in vdorov v sistem. (Caballero, 2008)

Caballero razkriva model informacijske varnosti po ISO standardu, ki bi ga moral poznati vsak informacijski menedžer. Pripraviti moramo navodila za posamezne akcije, ki jih lahko merimo in verificiramo s priznanimi standardi, preko katerih lahko dosežemo certifikat.

Varnostni model po ISO 17799:2005 (prikazuje slika 1) v piramidni strukturi 10 glavnih domen informacijske varnosti, ki so naslednje: varnostna politika, organizacijska varnost, razvrstitev (klasifikacija) in nadzor sredstev, kontrola dostopov, skladnost, osebna varnost, fizična in okoljska varnost, razvoj sistema in vzdrževanje, menedžment (upravljanje) komunikacij in (operacij) obdelav, upravljanje neprekinjenega poslovanja.

Slika 1 : ISO 17799:2005 varnostni model

Vir: (Caballero, Information Security Essentials for IT Managers: Protecting Mission-Critical Systems, 2008, str. 3)

Obravnavamo lahko različna področja informacijske varnosti, ki jih lahko razdelimo v 10 najpomembnejših (Caballero, Information Security Essentials for IT Managers: Protecting Mission-Critical Systems, 2008, str. 5):

8

Nadzor dostopov-metode, ki omogočajo administratorjem in vodjem definirati do katerih objektov ima uporabnik dostop z avtentifikacijo in avtorizacijo, vključno z naborom možnih akcij, ki jih lahko izvede nad objektom. Pomembnejša področja vključujejo tehnologije za identifikacijo in avtentifikacijo, upravljanje kontrol za dostope in tehnologije za enkratno prijavo (single sign-on).

Telekomunikacijska in omrežna varnost-proučuje notranja, zunanja, javna in zasebna komunikacijska omrežja, vključno z napravami, protokoli in oddaljenim dostopom (remote access).

Informacijska varnost in upravljanje tveganj-vključuje fizični, tehnični in administratorske kontrole, organizacijsko obvladovati grožnje in določiti nivo zaščite od največjega do najmanjšega tveganja. Cilj je zmanjšati tveganja in izgubo denarja/stroške.

Aplikacijska varnost-vključuje kontrole v programski opremi in operacijskih sistemih, ki podpirajo varnostne politike organizacije in merijo njihovo učinkovitost. Pokriva razvoja aplikacij, dostopnosti, načrtovanja varnosti, ranljivosti in dostopa do aplikacij in podatkov.

Kriptografija-uporaba različnih metod in tehnik, kot na primer simetričnega in asimetričnega šifriranja, da bi dosegli želeno stopnjo zaupnosti in celovitosti. Pomembno področje predstavljajo šifrirni protokoli in aplikacije, ter infrastruktura javnih ključev.

Arhitektura in dizajn varnosti-pokriva koncepte, principe in standarde, ki so v uporabi pri dizajnu in izvedbi varnih aplikacij, operacijskih sistemov in infrastrukture.

Varnost izvajanja-nadzira osebje, strojno opremo, tehnike revidiranja in nadziranja virov s tehnikami, kot so vzdrževanje, usposabljanje, sledenje in varovanje virov. S kontrolami kot so preventivne kontrole, korektivne, obnovitvene.

Načrt neprekinjenega poslovanja in planiranje vzpostavitve po nesreči-glavni namen tega področja je ohraniti nemoteno izvajanje poslovnih nalog v primeru motenj ali nesreč. Pomembno je določiti vrednost virov, analizirati vpliv na poslovanje in določiti prioritete, načrt neprekinjenega poslovanja in kriznega vodenja.

Skladnost poslovanja z zakoni in regulatornimi omejitvami-državni zakoni, geografska lokacija in predpisi regulatorjev področja delovanja podjetja določajo dovoljene in prepovedane poslovne prakse.

Fizična (okoljska) varnost-fizična varnost se ukvarja z grožnjami, tveganji in protiukrepi za zaščito zgradb, opreme, podatkov, nosilcev podatkov in osebja. Osredotoča se na področja omejenega gibanja, modele avtorizacije, zaznavanje vdora, zaznavanje ognja/požara in varnostnega osebja.

Lahko se vprašamo, čemu vsa ta informacijska varnost, ali poznamo grožnje pred katerimi se želimo zaščititi?

Kaj je grožnja? Grožnja informacijskemu sistemu lahko pride iz različnih virov, nekatere zlonamerno, druge pa z nadnaravnimi silami. Nevarnosti so lahko namerna dejanja

9

vohunstva, informacijska izsiljevanja, sabotaže, kot v nekaterih primerih napadi med različnimi narodi, pogosto pa so to nadnaravni pojavi (orkani, poplave) ali teroristični napadi (Caballero, Information Security Essentials for IT Managers: Protecting Mission-Critical Systems, 2008, str. 6)

Tehnične napade lahko razvrstimo v naslednje po naslednjem sistemu (Caballero, Information Security Essentials for IT Managers: Protecting Mission-Critical Systems, 2008, str. 7):

Zlonamerna koda

Socialni inženiring

Industrijska špionaža

Spam, phishing, potegavščine in druge.

2.2 Varstvo osebnih podatkov

2.2.1 Pravica do zasebnosti

Varstvo osebnih podatkov izhaja iz pravice po zasebnosti. Ustava Republike Slovenije v 35. členu navaja, da je »Zagotovljena je nedotakljivost človekove telesne in duševne celovitosti, njegove zasebnosti ter osebnostnih pravic« (Ustava Republike Slovenije, str. 35.člen).

Pravica do zasebnosti je s pravnega vidika je postala aktualna precej pozno. To področje so prvi obravnavali v izdani publikaciji v ZDA. Tako sta leta 1890 izdala članek dva sodnika na ameriškem vrhovnem sodišču in sicer Samuel Warren in Louis Brandeis z naslovom »Pravica do zasebnosti«. Osredotočila sta se na temeljno načelo in sicer, da naj bi bil posameznik zaščiten pred vdorom v zasebnost in v njegov prostor oz. premoženje. To naj bi se doseglo z več stoletnim razvojem civilizacije. (Warren & Brandeis, 1890).

Daljšo zgodovino pa ima zelo poznana fraza »pustiti pri miru« (to be let alone), ki izhaja iz leta 1834. Tedaj je vrhovno sodišče razsodilo v primeru Wheaton proti Peters, da »obtoženec nič ne sprašuje in nič ne želi, razen da se ga pusti pri miru«, do tedaj ko se dokaže, da je kršil pravice drugega. Ta fraza pa se je po drugem še bolj odmevnem primeru in sicer primeru prisluškovanja uveljavila kot definicija pravice do zasebnosti, povezano s kršitvijo zasebnosti posameznika s strani države (Informacijski pooblaščenec).

Zasebnost lahko pojmujemo na različne načine in vsak posameznik ima lahko svoje pojmovanje te besede. Zasledimo zapise, kjer posamezniki zasebnost označujejo kot neizbežno težek koncept, katerega ni lahko definirati, kajti nanaša se na subjektivno pojmovanje (Lampe, 2004, str. 39).

Čebulj opredeli tri sestavine zasebnosti (Repovž & Bernik):

Zasebnost v prostoru (da je lahko posameznik sam v prostoru),

10

Zasebnost osebnosti (da lahko posameznik svobodno misli in te misli svobodno izraža),

Informacijska zasebnost (da lahko posameznik možnost, da informacije o sebi obvaruje tako, da drugi do teh informacij nimajo dostopa, če posameznik tega eksplicitno ne želi).

Pri tem je zanimivo, da ima pravica do zasebnosti vsestranski značaj in sicer v smislu, da deluje ta pravica prosti vsem – »erga omnes«, proti državnim organom z vertikalnim razmerjem in proti tretjim osebam s horizontalnim razmerjem (Lampe, 2004, str. 42). Vendar se je posameznik za del svoje svobode in neodvisnosti v družbi odpovedal v korist varnosti. To pa odpira nova vprašanja glede upravičenosti vdora v zasebnost, kdaj je vdor upravičen zaradi npr. kazenskega postopka in kdaj pride do kršitev pravice do zasebnosti.

Teršek v Svobodi izražanja in pravica do zasebnosti (Teršek, 2006, str. 2) tudi navaja dejstvo, da mora država izvajati vse potrebne ukrepe in zavarovati pravico posameznika do zasebnosti, tudi v primerih med osebami in subjekti zasebnega prava.

To navaja Evropska direktiva v 16. točki, in sicer da obdelava zvočnih in slikovnih podatkov (npr. videonadzor) ne sodi v področje uporabe te direktive, v kolikor gre za izvajanje javne varnosti, obrambe, državne varnosti ali drugih dejavnosti, ki ne sodijo v zakonodajo Skupnosti (Direktiva Evropskega parlamenta in Sveta 95/46/ES, 1995).

Zanimiv je pregovor »kdor ima informacijo, ima moč«, kot navajata Brezavšek in Črnčec, kar v današnjih časih absolutno velja. Najnovejša informacijska tehnologija omogoča posameznikom in organizacijam, da zbirajo, obdelujejo in shranjujejo veliko osebnih in drugih podatkov. To lahko nekdo, ki ima dostop do teh podatkov, uporabi v razne nedovoljene namene, ugotovi posameznikovo obnašanje in navade in izvaja poseg v posameznikovo intimno življenje brez njegovega privoljenja (Repovž & Bernik, str. 2).

2.2.2 Nadzor

Z razvojem današnje družbe prehajamo v stanje, kjer je nadzorovanje posameznikov ne samo sredstvo disciplinskega nadzora, postaja namreč tudi sredstvo za zagotavljanje pravic družbene participacije. Kar razlaga Matej Kovačič in povzema Mayer-Schoenbergerja (Kovačič, 2006, str. 27), da je izpostavljenost nadzoru nujna za naše preživetje in da »moderna država blaginje brez računalnikov in zbirk podatkov ne more delovati«. To vpliva tudi na spremembe v tehnologiji kaznovanja, kar pomeni, da neprilagojenih posameznikov ne bomo več kaznovali, temveč jih bomo le izvrgli.

V splošnem velja, da sta nadzor in tehnologija zelo povezana, predvsem je nadzor izredno povezan z informacijsko tehnologijo, s katero lahko zbiramo in obdelujemo vse vrste podatkov in informacij, in s komunikacijsko tehnologijo. In prav komunikacijska tehnologija je po mnenju Thomasa (Kovačič, 2006, str. 28) vpeta v vse vidike posameznikovega komuniciranja. Prav tehnološke spremembe so izredno pomemben dejavnik pri povečevanju in širjenju nadzora in tako postajajo tehnološke spremembe eden pomembnejših motivov za spremembo zakonodaje. Kovačič prav tako navaja

11

Šelihovo tezo, da je zaskrbljujoče združevanje znanstvenih tehnologij in klasičnih metod nadzora, kar izpopolnjuje tehnična sredstva za nadzor in jih bo tudi v prihodnje (Kovačič, 2006, str. 28). Za to so značilne telekomunikacijske tehnologije in tehnologije, ki omogočajo avtomatsko obdelavo podatkov.. Sodobna informacijska tehnologija je namenjena poleg tega, da spremlja posameznikove aktivnosti, tudi tehničnemu omejevanju določenih ravnanj posameznikov in jim tako fizično omeji možnosti delovanja.

In kot navaja Deleuze v svojih raziskavah, v današnji družbi ni več pomemben podpis ali število, temveč šifra (šifra je geslo, disciplinarne družbe pa urejajo ukazi in numerični jezik je sestavljen iz šifer, ki zaznamujejo dostop ali zavrnitev dostopa do informacij. Posamezniku se tako jemlje svobodna volja, ki jo nadomeščata geslo in tehnologija (Kovačič, 2006, str. 28).

2.2.3 Varovanje osebnih podatkov

Pravica po ureditvi varovanja osebnih podatkov se je pričela izvrševati precej pozno in sicer z razvojem novih tehnologij. Kajti prav moderne kršitve zasebnosti kot so razna prisluškovanja preko telefonov in mikrofonov, razno zbiranje in shranjevanje podatkov z videokamerami ali računalniki, so se pričele izvajati hkrati z razvojem sodobnih tehnologij. Pred tem so bili namreč posamezniki lahko bili prepričani, da so v zasebnem prostoru varni. Tudi v primerih večjih skupin in vdorih v njihovo zasebnost, ugotovimo, da so se pričeli širiti z razvojem in uporabo velikih računalniških baz podatkov, saj so bili pred tem podatki o posameznih osebah zelo razpršeni, težko povezljivi in velikokrat tudi težko dostopni (Informacijski pooblaščenec).

Tako lahko v nadaljevanju obravnavamo tri koncepte (Wada, 2010):

Zasebnost kot civilno svobodo – varovanje zasebnosti posameznikov po načelu »right to be alone«,

Varstvo podatkov – varovanje zaupnosti informacij o posameznikih,

Varnost - varovanje infrastrukture, torej sistemov in omrežij za komunikacijo.

Beseda zasebnost se pogosto uporablja za vse tri vrste konceptov in lahko prihaja do zmede. Tako npr. veliko zakonov se nanaša na kršitve varnosti, torej kršitve infrastrukture, dejansko pa obravnavajo kršitve varstva podatkov.

Varnost in zaščita podatkov imata tudi posledice za zasebnost posameznika:

Elektronsko odkritje zahtev, ki lahko prisili v nedoločen čas hrambe npr. elektronske pošte, dokumentov in drugega materiala, če pričakujemo sodne postopke.

Javni zakoni, zaradi katerih postanejo elektronska pošta, dokumenti in glasovna sporočila na voljo javnosti, da se zagotovi preglednost delovanja javnih institucij, ki uporabljajo davkoplačevalski denar.

12

Spletna orodja za analizo, s katerimi lahko ugotovimo učinkovitost spletnih strani, torej kako navigirajo uporabniki spletne strani, ali so našli želene informacije, ali so opazili pomembna sporočila, idr.

Število računalniških napadov na finančne inštitucije, vključno z zavarovalnicami, se je v zadnjih letih izjemno povečalo, postali so tudi veliko bolj prefinjeni. Zavarovalnice posedujejo ogromno število osebnih identifikacijskih podatkov in zaščitenih zdravstvenih informacij. Varovanje takšnih podatkov v digitalnih formatih je velik tehnološki izziv z izjemno visokimi stroški. Zaradi visokih cen tehnologij, ki bi te napade omejili, si podjetja le-te težje privoščijo in imajo napadalci lažje delo, da jim uspe vdor v računalniške sisteme zavarovalnic in onemogočijo zaščito podatkov. Še več, osebni podatki pridobivajo na vrednosti na črnem trgu, zato je tudi vedno več računalniških vdorov (New York State Department on Financial services, 2015, str. 2).

Stopnjevanje varnostnih kršitev osebnih podatkov v organizacijah, je povzročilo izgubo milijonov zapisov v zadnjih nekaj letih. Kršitve, ki vključujejo osebne podatke, so nevarne za posameznika in organizacijo. Za posameznika lahko škoda vključuje krajo identitete, ponižanje, zadrego ali izsiljevanje. Za organizacijo lahko varnostne kršitve pomenijo izgubo zaupanja javnosti, pravno odgovornost in stroške sanacije, povrnitve podatkov in ugleda. Za ustrezno uravnavanje varovanja podatkov morajo organizacije uporabiti pristop, ki temelji na tveganju. Zanimiv je izrek McGeorge Bundy, ki pravi če bomo z enako vnemo varovali zobne ščetke enako kot diamante, bomo izgubili manj zobnih ščetk, ampak več diamantov. To nas opozarja, da je potrebna pravilna razvrstitev podatkov in skladno s tem izvajati varnost, torej različni podatki naj bodo različno varovani (McCallister, Grance, & Scarfone, 2010, str. ES-1).

2.3 Vloga Informacijskega pooblaščenca Republike Slovenije

Zakon o Informacijskem pooblaščencu je Državni zbor Republike Slovenije sprejel 30.11.2005, kjer 1. členu navaja, da se s tem zakonom prenaša Direktiva 95/46/ES Evropskega parlamenta in Sveta o varstvu posameznikov pri obdelavi osebnih podatkov in prostem pretoku takih podatkov v naš pravni red (Zakon o informacijskem pooblaščencu, 2005).

Evropska direktiva namreč v 28. členu navaja potrebo po ustanovitvi nadzornega organa in delovno skupino za varstvo posameznikov pri obdelavi osebnih podatkov. Vsaka država članica mora imeti vsaj en ali več javnih organov, ki morajo spremljati na svojem ozemlju uporabo predpisov v skladu s to direktivo. Nadzorni organ je po funkciji tudi odgovoren za spremljanje uporabe teh predpisov. Vloga nadzornega organa mora biti samostojna.

S tem je nadzorni organ pridobil naslednja pooblastila:

Preiskovalna pooblastila (pooblastila za dostop do podatkov in pooblastila za zbiranje informacij),

Učinkovita pooblastila za posredovanje, npr. dajanje mnenj, odrejanje blokiranja ali uničenja podatkov, ipd.

13

Pooblastila za sodelovanje v sodnih postopkih, če prihaja do kršitev določb, ki jih je sprejela ta direktiva.

Prav tako 29. člen določa, da morajo države članice ustanoviti delovno skupino za varstvo posameznikov pri obdelavi osebnih podatkov, ki je samostojna in ima svetovalni status.

Zakon o Informacijskem pooblaščencu pod okrilje Pooblaščenca za dostop do informacij javnega značaja, ki je že v preteklosti bil neodvisen organ, priključil še Inšpektorat za varstvo osebnih podatkov, ki je v preteklosti deloval v sestavi Ministrstva za pravosodje. Tako je Pooblaščenec za dostop do informacij javnega značaja prevzel delo in naloge Informacijskega pooblaščenca in s tem prevzel pod svoje okrilje inšpektorje in zaposlene na Inšpektoratu za varstvo osebnih podatkov. Tako se je področje dela za Pooblaščenca za dostop do informacij javnega značaja zelo razširilo in je Informacijski pooblaščenec postal državni nadzorni organ za varovanje osebnih podatkov, kar prikazuje slika 2.

Neodvisno delo Informacijskega pooblaščenca zagotavlja postopek imenovanja pooblaščenca kot funkcionarja, ki ga na predlog Predsednika Republike Slovenije imenuje Državni zbor. Po drugi strani pa je Informacijski pooblaščenec finančno neodvisen, kajti poda predlog Državnemu zboru in le-ta zagotovi sredstva v proračunu Republike Slovenije. Informacijski pooblaščenec ima 5 letni mandat (Letno poročilo Informacijskega Pooblaščenca za leto 2014, 2015, str. 1).

Slika 2: Organigram Informacijskega Pooblaščenca

Vir: (Letno poročilo Informacijskega Pooblaščenca za leto 2014, 2015, str. 18)

Pristojnosti informacijskega pooblaščenca so zakonsko določene naloge na dveh področjih dela in sicer na področju dostopa do informacij javnega značaja in na področju varstva osebnih podatkov. Na področju varstva osebnih podatkov izvaja

14

inšpekcijske nadzore nad izvajanjem zakonskih določb s področja varstva osebnih podatkov, odloča o pritožbah posameznikov v zvezi z neizvršenimi zahtevami po seznanitvi z osebnimi podatki, ki jih vodijo upravljavci o posamezniku, vodi razne postopke o prekrških s področja o varstvu osebnih podatkov in podobno.

Informacijski pooblaščenec vodi in vzdržuje tudi register zbirk osebnih podatkov in skrbi za ažurnost registra, kakor tudi, da je register zbirk osebnih podatkov javno dostopen prek svetovnega spleta (Letno poročilo Informacijskega Pooblaščenca za leto 2014, 2015, str. 2).

2.4 Vrste osebnih podatkov v podjetju

Organizacije morajo najprej identificirati vse osebne podatke v svojem okolju. Kajti organizacija ne more primerno zaščititi osebne podatke, če ne ve točno, kateri so in kje se nahajajo. Osebni podatek je katerakoli informacija o posamezniku:

Informacija, ki točno določa identiteto posameznika, npr. ime, številka socialnega zavarovanja, datum in kraj rojstva, dekliški priimek matere, biometrični podatki.

Katerakoli druga informacija, ki je povezljiva s posameznikom, npr. številka potnega lista, bančni račun, številka vozniškega dovoljenja, ipd.

Spodaj opisani primeri zajemajo osebne podatke, vendar osebni podatki niso omejeni zgolj na te definicije:

Ime in priimek, dekliško ime, materino dekliško ime.

Številka osebne izkaznice, davčna številka, številka potnega lista, številka vozniškega dovoljenja, transakcijski račun ali številka kreditne ali bančne kartice.

Informacija o točnem naslovu, kot je ulica, hišna številka ali elektronski naslov.

Osebne karakteristike, ki vključuje osebno fotografijo oz. sliko, še posebej obraz ali druge identifikacijske značilnosti, prstni odtis, lastnoročna pisava, ali biometrične značilnosti (npr. skeniranje mrežnice, glasovni posnetek, geometrija obraza).

Informacije o posamezniku, ki so povezane z nekaterimi podatki, ki jih navajamo zgoraj (npr. rojstni datum, kraj rojstva, rasa, vera, teža, aktivnosti, konjički, zemljepisni indikatorji, podatki o zaposlitvi, zdravstveni podatki, podatki o izobrazbi, podatki o finančnem stanju).

Organizacije naj čim bolj minimizirajo uporabo, zbiranje in hrambo osebnih podatkov na najmanjšo nujno količino podatkov, s katero še lahko izvajajo svojo dejavnost (McCallister, Grance, & Scarfone, 2010, str. ES-2).

Evropska direktiva opredeljuje pojem »osebni podatek« kot katero koli informacijo, ki se nanaša na določeno ali določljivo fizično osebo (Evropska direktiva 95/46/EC, 1995). Določljiva oseba je tista, ki jo lahko posredno ali neposredno identificiramo s

15

sklicevanjem na identifikacijsko številko ali na kateri drugi dejavnik (ki je značilen samo za njo, npr. fizična, duševna, kulturna, socialna ali fiziološka identiteta).

Zaradi pravilnega razumevanja določil ZVOP-1 in prav tako tudi pravilnega določanja obsega zakonskih določil je pomembna pravilna razlaga pojmov in »osebni podatek« je ključen pojem (Pirc Musar, Bien, Prelesnik, Bogataj, & Žaucer, 2006, str. 58).

Izraz je po zakonu o varstvu osebnih podatkov definiran kot »katerikoli podatek, ki se nanaša na posameznika, ne glede na obliko v kateri je izražen«. Prikazuje lastnosti posameznika in to ne glede na obliko v kateri je izražen (slika, zvok, zapis). Za pravilno razlago pojma » osebni podatek« moramo imeti jasno sliko o tem, kaj pomeni posameznik na katerega se osebni podatek nanaša. Posameznik je po ZVOP-u določena ali določljiva fizična oseba. Fizična oseba pa je določljiva, če jo lahko identificiramo (npr. z identifikacijsko številko ali kakšnimi drugimi dejavniki, ki so posebej značilni za to osebo in se nanašajo na njeno fizično, kulturno, duševno, ekonomsko stanje).

2.5 Obdelava osebnih podatkov

Na splošno osebni podatki (v digitalni obliki), ki jih ustvarjamo ljudje o nas samih, producirajo nov val možnosti za ustvarjanje gospodarske in družbene vrednosti. Vrste osebnih podatkov in količina, ki se zbirajo, so ogromne vrednosti. Tu mislimo na vse podatke (ne samo tiste, ki jih posredujemo s točno določenim namenom), tudi podatke naših spletnih iskanj in obiskanih spletnih strani, vključno z našimi nakupi, telefonskimi klici, koordinatami naših lokacij, ipd. Podjetja zbirajo uporabljajo te podatke za podporo individualiziranim storitvam, pisanim na kožo vsakemu posamezniku. Ustvarjajo lahko poslovne modele in jih lahko finančno ovrednotijo. Države zbirajo te podatke zaradi učinkovitejšega in uspešnejšega razvoja kritičnih javnih storitev. Raziskovalci pospešujejo razvoj novih zdravil in protokolov zdravljenja, uporabniki brezplačno izkoristijo izkušnje potrošnikov. In to je šele začetek. Povečanje nadzora in zbiranja osebnih podatkov posameznikov bo vzpodbudilo številne nove storitve in aplikacije. Zato ne govorimo zastonj o tem, da bodo osebni podatki nova »nafta« - dragocen vir 21. stoletja (World Economic Forum, 2011, str. 5) . Po tej raziskavi podjetja obdelujejo osebne podatke ne samo z namenom izvajanja svojega poslovanja, temveč ustvariti nove priložnosti za učinkovitejše poslovanje, vzpodbujanje povpraševanja, vzpostavljanja odnosov s strankami in ustvarjanja dobička. S tem podjetja tvegajo kršitve »zaupanja strank«, in če prekoračijo to mejo dovoljenega in dopustnega, lahko imajo ogromne negativne posledice in izgubo ugleda.

Obdelava osebnih podatkov je kakršno koli delovanje, ki se izvaja nad osebnimi podatki (npr. zbiranje, vpis, urejanje, shranjevanje, spreminjanje, vpogled, sporočanje, blokiranje, idr.). Zaradi zgornjih navedb tudi zakon o varstvu osebnih podatkov (ZVOP-1, 2016) v 8. členu omejuje obdelovanje osebnih podatkov in navaja, da se lahko podatki obdelujejo samo v primeru, ko to določa zakon ali če posameznik osebno privolil v obdelavo. Zato mora biti posameznik obveščen o namenu obdelave pisno ali seznanjen na drug ustrezen način. Posameznik lahko od upravljavca osebnih podatkov zahteva tudi dodatne razlage glede obdelave njegovih osebnih podatkov (19. člen) in upravljavec je dolžan posamezniku posredovati natančne informacije obdelovanju.

16

Zakon posebej obravnava avtomatizirano obdelavo osebnih podatkov v 15. členu in opisuje avtomatizirano obdelavo kot tisto, ki lahko o posamezniku pridobi posamezne značilnosti (npr. kreditna sposobnost, zanesljivost, ipd) in je dovoljena le, če je določena z zakonom ali je potrebno za izpolnjevanje pogodb ali sporazumov, ki jih je posameznik vložil za sklenitev.

Zato je pomembno, da se posamezniki zavedajo, kaj so osebni podatki in katere podatke morajo posredovati upravljavcem, kateri osebi podatki pa niso potrebni za opravljanje nekega posla. In da lahko posameznik, preden privoli v posredovanje osebnih podatkov, zahteva od nekega subjekta (npr. organizacije), da mu predhodno razloži, zakaj potrebuje podatke in kdo jih bo obdeloval. Posameznik lahko zahteva od upravljavca tudi naknadno, da mu (Informacijski pooblaščenec, 2009):

omogoči vpogled v njegove lastne osebne podatke,

da mu posreduje informacijo o virih, kje je informacije o osebnih podatkih prejel,

posredovati mu mora seznam uporabnikov, komu vse je posameznikove osebne podatke posredoval dalje (zato mora imeti s pogodbenimi partnerji sklenjene posebne pogodbe o obdelovanju osebnih podatkov, razen na podlagi zakonskih zahtev).

2.6 Katalogi osebnih podatkov

V 6. členu zakon o varstvu osebnih podatkov opredeljuje katalog zbirke osebnih podatkov kot opis zbirke osebnih podatkov (ZVOP-1, 2016). Zbirka osebnih podatkov je vsak strukturiran niz osebnih podatkov in na njegovi podlagi določimo posameznika. Register zbirk osebnih podatkov zajema posamezne kataloge osebnih podatkov.

Upravljavec osebnih podatkov je fizična, pravna ali druga oseba iz javnega ali privatnega sektorja, ki mora voditi zbirke osebnih podatkov in jih v zbirki katalogov prijaviti pri Informacijskem pooblaščencu. Vpis v register zbirk ni obvezen za tiste upravljavce osebnih podatkov, katerih število zaposlenih ne presega 50, vendar so pri tem izključeni upravljavci osebnih podatkov iz javnega sektorja, notarji, odvetniki, zasebni zdravstveni delavci in drugi, ki vodijo zbirke z občutljivimi osebnimi podatki.

26. člen zakona o varstvu osebnih podatkov opredeljuje vsebino kataloga zbirke osebnih podatkov, ki je sestavljen iz 13-ih točk (ZVOP-1, 2016), kot je navedeno v spodnji tabeli. Upravljavec mora prijaviti katalog najmanj 15 dni pred vzpostavitvijo zbirke osebnih podatkov in v najmanj 8 dneh prijaviti spremembo, ki je v obstoječi zbirki nastala (3. in 7. točka nista obvezni za izpolnitev spletnega obrazca). Polja, ki jih je potrebno izpolniti, so prikazana v spodnji tabeli 1.

17

Tabela 1: EVIDENCA PODATKOV V KATALOGU

Opis Vsebina

1. Naziv zbirke osebnih podatkov

Evidenca o strankah

2. Podatki o upravljavcu osebnih podatkov

Podatki o podjetju oz. organizacija, ki zbirko prijavlja: podjetje, naslov in poštna številka

3. Pravna podlaga za obdelavo osebnih podatkov

Navedemo zakone, na podlagi katerih osebne podatke lahko zbiramo in obdelujemo, osebna privolitev posameznika, naziv pogodbe, na podlagi katere zbiramo osebne podatke.

4. Kategorije posameznikov, na katere se nanašajo osebni podatki

Stranke podjetja ali stranke v zavarovalnicah, kot so npr: zavarovanci, sklenitelji, odvetniki, ipd.

5. Vrste osebnih podatkov v zbirki osebnih podatkov

Podatki o stranki (ime in priimek, naslov, EMŠO, št. TRR, datum sklenitve pogodbe, slika posameznika, zvočni posnetek, idr.)

6. Namen obdelave Npr. Izvajanje določb po pogodbi, izvrševanje zakonskih obveznosti, idr.

7. Rok hrambe osebnih podatkov

Rok hrambe je zakonsko določen, npr. Hranijo se trajno, hranijo se 10 let po zadnji obdelavi osebnih podatkov, do preklica osebne privolitve posameznika, idr.

8. Omejitve pravic posameznikov glede osebnih podatkov, vsebovanih v zbirki osebnih podatkov in pravna podlaga omejitev

Omejitve pravic posameznikov ni, oz. če so, zapišemo del člena ZVOP 1, ki določa taksšno omejitev.

9. Uporabniki ali kategorije uporabnikov osebnih podatkov, vsebovanih v zbirki osebnih podatkov

Uporabniki osebnih podatkov so lahko določeni zaposleni v podjetju, ki te podatke obdelujejo oz. jih obdelujejo pri izvrševanju svojega delovnega procesa.

Na podlagi izrecne zahteve pa so morebitni uporabniki tudi druge osebe, ki lahko pridobivajo te osebne podatke na podlagi zakona ali osebni

18

privolitvi posameznika (npr. Razne državne ustanove: DURS, AZN, idr.).

10. Dejstvo, ali se podatki iznašajo v tretje države?

Kam, komu in pravna podlaga iznosa. Osebni podatki se lahko iznašajo v tretje države ali pa ne, odvisno od določil pogodbe.

11. Splošen opis varovanja zbirke osebnih podatkov

Gre za zavarovanje prostorov, v katerih je strojna in programska računalniška oprema, zbirke osebnih podatkov in druge dokumentacije, npr: zaklepanje, omejitve dostopov s kartico, videonadzor, varnostniki.

Zbirke osebnih podatkov in ostala fizična dokumentacija z osebnimi podatki, ki se vodijo ročno, se morajo izven delovnega časa zaklepati v kovinske ognjevarne omare in dostop do prostorov mora biti omejen in dovoljen le določenim pooblaščenim delavcem.

Navedeno v pravilniku o varovanju osebnih podatkov v posameznem podjetju.

12. Podatki o povezanih zbirkah osebnih podatkov iz uradnih evidenc ter javnih knjig

Osebni podatki se lahko povezujejo ali pa ne z uradnimi evidencami in drugimi javnimi knjigami. Če se, potem moramo navesti s katerimi evidencami se povezujejo.

13. Podatki o zastopniku iz 3.odstavka 5.člena ZVOP 1

Prazno, če ni zastopnika iz 3.odstavka 5.člena ZVOP-1. Če pa obstaja, zapišemo podatke o tej pravni ali fizični osebi, ki lahko zastopa upravljavca osebnih podatkov iz drugega odstavka 5.člena.

Vir: (Pirc Musar, Bien, Prelesnik, Bogataj, & Žaucer, 2006, str. 225)

Postopek vnosa je prikazan z diagramom poteka na sliki 3.

19

Slika 3: Postopek vnosa zbirke

Vir: (Informacijski pooblaščenec)

V register zbirk se s črtno kodo podjetja prijavimo preko vnosne maske (prikazuje slika 4).

20

Slika 4: Vpis črtne kode podjetja

VPIS PODATKOV V REGISTER


Po vstopu v sistem oz. prijavi pričnemo z izpolnjevanjem podatkov. Priloga 1 prikazuje vnosno masko na spletni strani Informacijskega pooblaščenca in sicer moramo izpolniti vsa obvezna polja, ki so označena (obvezno). Podjetje oz. oseba, ki prijavlja podatke v register, mora poznati vsebino tudi vseh neobveznih polj, kot so: pravne podlage, omejitve posameznikov, idr.

2.7 Informacijski sistemi in revizijske sledi

2.7.1 Informacijski sistemi

Obstaja več definicij informacijskih sistemov. Turk je informacijski sistem označil kot organizirano enoto med seboj povezanih sestavin, njihov namen pa je oblikovanje informacij in njihova hramba (Turk, 1987, str. 16). Informacijski sistem je vedno podsistem nekega organizacijskega sistema, namen je zbiranje, obdelava, shranjevanje in distribucija informacij, ki so potrebni za upravljanje tega organizacijskega sistema ali njegovega podsistema (Strahonja , Varga, & Pavlić, 1992, str. 15).

Podjetja vse bolj razumejo strateški pomen informacijske tehnologije in da to področje ni omejeno le na informacijske storitve, temveč da aktivno prispeva k poslovnemu uspehu in konkurenčni prednosti.

Kocbek v svojem raziskovalnem delu povzema dr.Bobeka iz knjige Vpliv informacijskih sistemov na poslovno uspešnost in njegove opredelitve glede vloge informacijske tehnologije v podjetjih. Glede na razvoj informacijske tehnologije danes imajo informacijski sistemi strateški pomen v podjetju (Kocbek, 2010, str. 17). To izhaja predvsem iz njihovega velikega doprinosa k boljšemu poslovanju podjetja. Strateška naravnanost informacijskih sistemov je v podjetju prikazana kot:

Izboljšana operativna učinkovitost podjetja,

Promocija poslovne aktivnosti,

Gradnja strateških tehnoloških virov.

21

Vpeljevanje strateških informacijskih sistemov je zahteven proces, priložnosti, stroški ter tveganja naredijo informacijski sistem strateško pomemben za uspeh podjetja, kot prikazuje spodnja slika. Še posebej pomemben faktor so izobraženi zaposleni, torej strokovnjaki za upravljanje informacijskih sistemov.

Slika 5: Strateški informacijski sistem

Vir: (Kocbek, 2010, str. 17)

Cilj, ki ga z izvajanjem zakonskih zahtev varstva osebnih podatkov zasledujemo s pravilno izbiro informacijske podpore oz. strateškega informacijskega sistema, je varovanje posameznika, na katerega se podatki nanašajo. Zakonske zahteve glede organizacijskih, tehničnih in logično tehničnih postopkov in ukrepov za zavarovanje osebnih podatkov so podane na splošno. Zelo težko bi jih natančno specificirali, kajti ti postopki in ukrepi so odvisni predvsem od okoliščin in načina obdelave v posamezni organizaciji. Zato moramo upoštevati naslednje okoliščine, ki najbolj vplivajo na ta proces načrtovanja:

ročno ali avtomatsko obdelovanje osebnih podatkov,

s kakšno programsko in strojno opremo organizacija razpolaga,

komu in na kakšen način se vrši posredovanje podatkov iz organizacije,

velik vpliv ima morebitna obdelava občutljivih osebnih podatkov, kot so zdravstveno stanje, rasa, spolno življenje, politična opredelitev, ipd. Ta obdelava občutljivih osebnih podatkov in zavarovanje teh podatkov morajo biti skladni s 14. členom ZVOP-1.

Tako sta dva člena zakona o varstvu osebnih podatkov posebej pomembna za načrtovanje informacijskega sistema za zagotovitev skladnega delovanja organizacije in sicer 24. In 25. člen (ZVOP-1, 2016).

22

Štiriindvajseti člen opredeljuje vsebino zavarovanja osebnih podatkov navaja zahtevo, da morajo biti sprejeti organizacijski, tehnični in logično-tehnični postopki in ukrepi , ki ne samo varujejo osebne podatke, temveč tudi preprečujejo namerno ali nenamerno nepooblaščeno uničevanje, spremembo ali izgubo podatkov. Če je dostop do podatkov mogoče preko telekomunikacijskih sredstev ali omrežja, potem mora že sama programska oprema zagotavljati dostop v mejah pooblastil uporabnika. Pomembno vlogo pri izbiri teh postopkov ima tudi ocena tveganja obdelave teh podatkov. Zaposleni in vsi, ki imajo dostop do osebnih podatkov v neki organizaciji, so dolžni varovati tajnost osebnih podatkov med delom in tudi po prenehanju dela v organizaciji.

Petindvajseti člen nalaga upravljavcem osebnih podatkov, da glede na svojo dejavnost in vse značilnosti obdelovanja osebnih podatkov v svojem okolju predpišejo postopke in ukrepe za zavarovanje osebnih podatkov. Vsaka organizacija mora imeti vnaprej določeno osebo, ki je odgovorna za določeno zbirko osebnih podatkov in osebe, ki lahko te podatke iz določene zbirke obdelujejo samo zaradi narave njihovega dela.

Vsebino teh členov zagovarja tudi teza Whitmana in Mattorda, da se popolna kontrola uporabe podatkov v organizaciji lahko doseže le z določitvijo (Whitman & Mattord, 2011, str. 40):

lastnikov podatkov, ki so določeni za varovanje in uporabo samo določene vrste podatkov,

skrbnikov podatkov, ki so odgovorni za hrambo, vzdrževanje in zaščito podatkov,

uporabnikov podatkov, ki lahko te podatke uporabljajo pri delu samo za izvajanje poslovnih procesov.

Informacijski sistemi morajo tak način dela podpirati in aplikacije morajo vsebovati vse kontrole dostopov že s samim sistemom logiranja.

Informacijski sistem moramo v prvi vrsti obvarovati pred raznimi zunanjimi napadi tako, da naš informacijski sistem izpopolnimo in ga obvarujemo pred varnostnimi napadi v primerih pretoka informacij (Bagad & Dhotre, str. 4; Bagad & Dhotre):

prekinitev,

prestrezanje,

modifikacija,

izdelava (ponarejanje).

Bagad in Dhotre sta v raziskavah o informacijski varnosti posebej navedla pomembne varnostne servise, ki varujejo pred napadi.

Varnost informacijskih sistemov je sestavljena iz različnih področij in sicer lahko posebej obravnavamo: varnost omrežja, strojna oprema/prenosljive naprave/shranjevanje podatkov, fizična zaščita IT sredstev, varnostni ukrepi za varnostne kopije (backup), upravljanje tveganj in upravljanje varnostnih incidentov, izobraževanje (Information System Security Control Guidance Document, 2014).

23

2.7.1.1 Varnost omrežja

Varnost omrežja mora biti del učinkovite varnosti IT, ki mora zagotavljati in vključevati procedure, kot so:

Avtentikacija uporabnika (npr. uporabniško ime in geslo (strong pasword) z omejenim časom veljave,

Okrepljeni nadzor za glavne sistemske administratorje (monitoring),

Požarni zid,

Antivirusna programska oprema ali proti vdorni sistem kot preventiva,

Programska oprema za varnost interneta, lahko tudi omejimo uporabo interneta ali zaklenemo dostop do nepreverjenih točk interneta,

Varna območja (Secured zone), kjer so računalniki in strežniki v varnem omrežju (LAN).

2.7.1.2 Strojna oprema/periferne naprave/shranjevanje podatkov

Strojna oprema zajema vso opremo, kot so računalniki, prenosniki, operacijski sistem na računalniku, monitorje, prenosni pomnilniki. Zato je pomembno, da imamo vzpostavljene določene protokole za zaščito teh naprav (npr. priklopna postaja za prenosnike), obvezna uporaba gesel, varnostno logiranje z omejenim časom-potrebno ponovno logiranje v sistem, varovalna gesla. Zaželjen in potreben je fizični nadzor nad napravami, tudi če so v varovanih prostorih (npr. stavbah z varnostniki). Prenosne naprave so danes izredno zmogljive in so nosilci mnogih zaupnih podatkov, zato je potrebna posebna varnostna obravnava.

Periferne naprave (Peripheral devices) potrebujejo tudi posebno pozornost pri varovanju, kajti lahko predstavljajo nevidno grožnjo (notranjo ali zunanjo). Te naprave so lahko USB naprave, USB priključni kabli-mikro konektorji, prenosniki, telefoni, idr. Vsaka od teh naprav je lahko uporabljena za nepooblaščeni vdor v sistem.

Naprave za shranjevanje podatkov (Data storage device so naprave za shranjevanje ali snemanje podatkov). Grožnjo predstavljajo naprave, ki se lahko odstranijo iz strojne opreme in zato obstaja možnost odtujitve podatkov. To so npr. prenosni diski, CD, DVD spominske kartice in druge komponente, na katere lahko shranjujemo podatke.

2.7.1.3 Fizična zaščita IT sredstev

Za celovito informacijsko varnost je potrebno hkrati vpeljati in zagotavljati varovanje informacijskega sistema kakor tudi fizično varovanje sredstev oz. virov. Fizično varovanje je namenjeno varovanju prostorov in sredstev, ter da imajo dostope samo pooblaščene osebe. Poleg kartic za dostope se lahko uporabi tudi biometrija. Dostopi morajo biti omejeni tako, da kartice odpirajo vsakemu posamezniku samo določene prehode ali vrata.

24

2.7.1.4 Varnostni ukrepi za varnostne kopije (backup)

Varnostno kopiranje mora biti vzpostavljeno avtomatsko periodično tako, da človeški faktor nima vpliva. Pomembno je, da imamo tudi napajalni generator v primeru izpada elektrike. Potrebno je redno pregledovanje varnostnih kopij in zagotavljanje dovolj prostora za hrambo varnostnih kopij.

2.7.1.5 Upravljanje tveganj in upravljanje varnostnih incidentov

Tveganja moramo prepoznati, determinirati, komunicirati/obvladovati ter upravljati. Determiniramo jih tako, da ugotovimo kaj je predmet grožnje, npr. omrežje, računalnik, informacije. Tveganja obvladujemo tako, da ugotovimo kje je sprejemljiva meja, da tveganje sprejmemo. Upravljanje tveganj pa lahko zagotovimo z učinkovitim sistemom neprekinjenega poslovanja in okrevalnih načrtov. Upravljanje varnostnih incidentov po NIST-u je upravljanje incidentov, kot so škodljiva koda, virusi, vdori v sistem. Imeti moramo vzpostavljen proces obvladovanja (sistem obveščanja, odprave napake, ponovne vzpostavitve sistema) in usposobljen tim ljudi, ki je to sposoben upravljati.

2.7.1.6 Izobraževanje

Izobraževanje je izjemno pomemben faktor v upravljanju informacijske varnosti, kajti vsaka oseba je v procesu zelo pomembna. Izobraževanje zaposlenih mora obsegati izobraževanje o zagotavljanju fizične varnosti, pravil za dostope do sistemov, upravljanje z gesli (postopki pridobivanja, izgube, razkritja gesel), nadzor in kontrola informacijskega sistema (kontrola priključevanja nepooblaščenih naprav v sistem, kontrola logov in pregled dostopov in poskusov dostopov v sistem, odpiranje datotek sumljivega izvora, ipd. Zaposleni se morajo zavedati odgovornosti in posledic svojih dejanj).

Zaposlene in vodstvo podjetja je potrebno motivirati pri izvajanju vseh potrebnih aktivnosti za zagotovitev učinkovitega varnostnega sistema. Izobraževanja morajo biti prilagojena za posamezne delovne skupine uporabnikov, kajti vsi ne potrebujejo enakega znanja in tudi nivoji dostopov do informacijskega sistema so za različne uporabnike različni.

2.7.2 Revizijske sledi

V podjetju nadziramo dostope do podatkov, ker potrebujemo informacije o tem, kdaj je zaposleni dostopal do podatka in s kakšnim namenom. Zato vodimo log datoteke , v katere zapisujemo:

podatke o osebi, da lahko nedvoumno ugotovimo, kdo je ta oseba (IP naslov njenega računalnika, uporabniško ime), čas dostopa.

namen obdelave osebnega podatka, v logu je zapisana akcija, ki jo je zaposleni po vnaprej določenih pravilih, lahko izvedel: vpogled, dodajanje, brisanje, spreminjanje. To je odvisno od vrste dostopov zaposlenih po vnaprej določenih pravilih glede na delovno mesto in delovne naloge, ki jih zaposleni izvaja v organizaciji.

do katerega osebnega podatka je zaposleni dostopal.

25

Zanimiv je primer revizijskih sledi zaposlenih po intranetnih straneh, ki ga opisujejo McCallister, Grance in Scarfone, in sicer za to sledenje organizacija vzdržuje spletni dnevnik dostopov (McCallister, Grance, & Scarfone, 2010, str. 3-6).

Spletni dnevnik dostopov zajema v svojih zapisih naslednje:

IP naslov uporabnika

URL – spletni naslov strani,

datum in čas dostopa,

spletne strani ali teme, dostopne preko spletne strani organizacije (v skladu z varnostno politiko organizacije).

Tako lahko pregledamo značilnosti teh revizijskih sledi glede:

razpoznavnosti lahko zapišemo, da sama log datoteka ne vsebuje direktne identifikacijske osebne podatke, ker pa ima organizacija relacijske baze in lahko podatke iz log datotek povežemo s tabelami z zapisi, ki so identifikacijski. Administrator baze ima dostop do obeh sistemov in vrst osebnih podatkov in lahko vzpostavi korelacijo med temi podatki. Sicer v organizacijah navadno obstaja manjše število zaposlenih administratorjev s temi pooblastili in dostopi.

količine osebnih podatkov-log datoteke vsebujejo veliko število zapisov, ki vsebujejo povezave z osebnimi podatki.

občutljivosti podatkovnih polj, torej logi vsebujejo informacijo, katere notranje spletne strani so bile dostopane in bi lahko povzročila potencialna zloraba veliko škodo.

konteksta uporabe log datotek-kreiranje log datotek in uporaba logov je poznana vsem zaposlenim v organizaciji s sprejetimi politikami.

dostopa do log datotek-do logov dostopa manjše število sistemskih administratorjev, priložnostno, kadar nastanejo posebni pogoji in morajo raziskovati posamezne primere.

Ker pa lahko do log datotek dostopamo samo iz sistema organizacije direktno, obstaja minimalna možnost vdora v sistem, zato so navadno podatki v log datotekah označeni z nizkim tveganjem zlorabe.

2.8 Standardi informacijske varnosti

Začetki standardizacije kakovosti programske opreme segajo daleč nazaj v prejšnje stoletje (Pivka, 1996, str. 31).

Marjan Pivka se je v devetdesetih letih prejšnjega stoletja ukvarjal s kakovostjo v programskem inženirstvu, tudi z vidika karakteristike kakovosti programskih proizvodov po mednarodnem standardu ISO 9126. Ta standard je opisoval 6 značilnosti kakovosti programskega proizvoda, kot so funkcionalnost, zanesljivost, uporabnost, učinkovitost, vzdrževalnost in prenosljivost. Omejeni standard se je v določenih segmentih ukvarjal z varovanjem informacijskih sredstev (Pivka, 1996, str. 266-270):

26

varovanjem programov in podatkov, kjer je v točki 6.3.5 navajal, da mora biti pisno zavedeno o vseh možnostih, da si lahko uporabniku zavaruje programski paket ali pa samo sestavne dele programskega paketa, ter lahko podatke zaščiti pred nepooblaščenim dostopom. Prav tako navaja, da je potreben pisni zapis vseh oblik kontrol in pripomočkov za varnostno kopiranje.

varnostno kopiranje se mora izvajati po točnem opisu, kako moramo varnostne kopije programskega paketa izvesti, seveda če je to potrebno oz. dopuščeno.

s podatki v točki 6.5.3, kjer so opisani postopki za navajanje vsebine, strukture, formata in pomena podatkov, ter njihova odvisnost od medijev, na katerih se nahajajo. To se nanaša na posamezne vrste podatkov (vhodni, pomožni, izhodni, vmesni), prav tako pa navaja tudi omejitve glede podatkov in določila glede hrambe podatkov (na kakšnih medijih se hranijo, maksimalno številno podatkov na določenem mediju, ipd).

Informacijski pooblaščenec navaja pomembnost zavarovanja podatkov, katerega element je varstvo osebnih podatkov. Zavarovanje podatkov se nanaša na različne aktivnosti, kot so preprečevanje nepooblaščene obdelave osebnih podatkov in na namerne ali nenamerne izgube podatkov. Da lahko vzpostavimo primerno stanje, ki bi onemogočalo nepooblaščene dostope ter obdelave ali izgube, moramo dojemati te aktivnosti kot proces in ne kot posamezne aktivnosti, s katerimi se po zaključku opravljenega dela več ne ukvarjamo. Zato je pomembno, da je to proces zavarovanja osebnih podatkov z naslednjimi pomembnimi fazami:

faza planiranja,

faza izvajanja,

faza preverjanja in odzivanja na opažene nepravilnosti ali pomanjkljivosti.

Glede na omenjena dejstva Informacijski pooblaščenec priporoča upravljavcem osebnih podatkov (organizacijam) upoštevanje smernic mednarodno uveljavljenih standardov varovanja informacij, kot so standardi skupine ISO/IEC 27000 (Informacijski pooblaščenec, 2010, str. 6).

Zakon o varstvu osebnih podatkov navaja zahteve varovanja skladno z mednarodnimi standardi informacijske varnosti, kar navaja tudi v 25. členu, kje so zapisana nekatera temeljna področja informacijske varnosti, kot so:

fizična varnost,

varnost omrežij,

zagotavljanje zaupnosti podatkov med prenosom in

beleženje uporabe podatkov.

Zakon tudi izrecno navaja potrebno ustreznost ukrepov: ukrepi za zavarovanje morajo biti ustrezni glede na naravo in tveganje, ki jih prinaša obdelava osebnih podatkov. Zato moramo posebno pozornost posvečati:

tehničnim in organizacijskim ukrepom, kar spet dokazuje tezo, da informacijska varnost ni samo stvar informatike in informacijske tehnologije.

27

ukrepom, ki morajo biti prilagojeni glede na naravo obdelave in tveganjem, ki jih povzročajo obdelave osebnih podatkov.

stalna skrb za varnost, kajti informacijska varnost je proces s posameznimi ključnimi elementi, kot so analiza tveganj, obravnava tveganj, sprejem ukrepov za upravljanje tveganj, nadzorovanje učinkovitosti sprejetih in podvzetih ukrepov in prilagajanje ukrepov na trenutno situacijo (Informacijski pooblaščenec , 2015, str. 8).

V Sloveniji zakon ne predpisuje način varovanja ali zahteva delovanje po določenem standardu, temveč zakon samo usmerja in priporoča (Informacijski pooblaščenec , 2015, str. 19). Informacijski pooblaščenec priporoča organizacijam , da za zagotovitev varstva osebnih podatkov in informacijske varnosti sledijo določenim mednarodno priznanim virom, kot so npr.:

Standardi ISO/IEC 2700X,

Standardi informacijske varnosti na področju poslovanja s plačilnimi karticami (Payment Card Industry Data Security Standard – PCI DSS),

Standardi ameriškega zveznega urada za standarde in tehnologijo – NIST,

Poslovni okvir za upravljanje IT (Control Objectives for Information and related Technology – COBIT),

Priporočila Evropske agencije za varnost omrežij in informacij (European Union Agency for network and Information Security – ENISA),

priporočila SI-CERT, nacionalni center za obravnavo incidentov s področja varnosti elektronskih omrežij in informacij.

V nadaljevanju raziskave bomo primerjali glavne značilnosti treh mednarodno priznanih virov: ISO/IEC 27001, NIST, COBIT in ITIL.

2.8.1 ISO/IEC 27001

Serija standardov družine ISO 27000 so posebej namenjeni informacijskim varnostnim zadevam, vključno s standardom ISO 9000 (upravljanje kakovosti) in ISO 14000 (ravnanje z okoljem). ISO 27001 je standard iz serije standardov informacijske varnosti, ki so:

ISO 27001 – standard za upravljanje informacijske varnosti,

ISO 27002 – standard za kodeks ravnanja z informacijsko varnostjo,

ISO 27003 – pomoč in usmerjanje pri izvajanju sistema upravljanja informacijske varnosti,

ISO 27004 – daje napotke o razvoju in uporabi ukrepov in meritve za oceno učinkovitosti in nadzora informacijske varnosti,

ISO 27005 – pokriva obvladovanje tveganj za informacijsko varnost,

ISO 27006 – pokriva varnostne tehnike informacijske varnosti, ki jih potrebujejo za presoje in certificiranja.

ISO 27001 je mednarodni standard za pripravo modela za vzpostavitev, vpeljavo, delovanje, spremljanje, pregledovanje, vzdrževanje in izboljševanje sistema za

28

upravljanje varovanja informacij v organizaciji. Standard uvaja procesni pristop k upravljanju varovanja informacij in sprejema model »Načrtuj-stori-preveri-ukrepaj« (»plan-do-check-act«) (BSI Institut, 2005)., prikazano na sliki 6.

Slika 6: Model ISO 27001

Vir: (Risk 27001)

Vsebina standarda določa, da morajo organizacije določiti (ISO):

1. Okvir organizacije, torej organizacija mora določiti meje in uporabnost sistema upravljanja informacijske varnosti,

2. Voditeljstvo in zavezanost, kar pomeni, da mora najvišje vodstvo izkazovati sposobnost vodenja in zavezanost v zvezi s sistemom upravljanja informacijske varnosti,

3. Načrtovanje, ki naj temelji na ocenah in obravnavanju tveganj in priložnosti, 4. Podpora, ki vključuje vire v organizaciji, ki so potrebni za izvajanje informacijske

varnosti, 5. Delovanje, ki zajema načrtovanje, izvajanje in obvladovanje procesov, 6. Vrednotenje delovanja, gre za vrednotenje delovanja sistema informacijske

varnosti in uspešnosti sistema upravljanja informacijske varnosti, 7. Izboljševanje, odprava neskladnosti in popravni ukrepi. 8. Cilji in kontrole (tabela ciljev in kontrol, kjer navajamo za vsako področje

informacijske varnosti cilje in izvajanje kontrol).

Svetovna razširjenost standarda ISO/IEC 27001 je prikazana na sliki 7, in sicer prikazuje rast certificiranja v podjetjih v posameznih predelih sveta. Npr. v Evropi se je število podjetij s pridobljenim certifikatom za informacijsko varnost v osmih letih od leta 2006, ko je imelo ta certifikat 1.064 podjetij, povečalo na 8.710 v letu 2014. Torej se je povečalo število organizacij v osmih letih za 7.646 organizacij (iso27001security).

29

Slika 7: Število certificiranih organizacij med leti 2006 in 2014 po različnih področjih sveta

Vir: (iso27001security)

Če povzamemo novi standard 27001:2013 (Slovenski institut za standardizacijo, 2013), obravnava več nivojev dokumentacije informacijske varnosti in sicer:

1. nivo pokriva pripravo krovnih dokumentov varnostnih politik, kot so Poslovnik informacijske varnosti, seznami varnostnih politik (različnih statusov: sprejete, v delu, v sprejemanju), ipd.

2. nivo dokumentov zajema varnostne politike s primernim standardnim številčenjem (organiziranje informacijske varnosti, varovanje človeških virov, upravljanje dobrin, nadzor dostopa, kriptografija, fizična in okoljska varnost, varnost operacij, varnost komunikacij, vzdrževanje sistemov, odnosi z dobavitelji, upravljanje varnostnih incidentov, neprekinjeno poslovanje).

3. nivo so interni dokumenti vsake organizacije posebej glede na potrebe dokumentov 2.nivoja.

Vsa dokumentacija naj bo primerna in prilagojena vsaki organizaciji posebej in njenemu poslovanju, torej ni enotnega recepta za pripravo dokumentov.

Pri varovanju osebnih podatkov je poseben poudarek namenjen poglavju o nadzoru dostopa do sistema, kjer mora imeti vsaka organizacija dobro razdelan in vzpostavljen delujoč sistem dostopov do informacijskega sistema (kot so npr. Varnostna politika nadzora dostopa do informacijskega sistema, Varnostna politika uporabe gesel, idr.).

30

Po Whitmanu in Mattordu so razdeljene sekcije standarda ISO/IEC 27002 na 12 sklopov (Whitman & Mattord, 2011, str. 191), prikazano na sliki 8.

Slika 8: Poglavja po ISO/IEC 27002

Vir: (Whitman & Mattord, 2011, str. 191)

2.8.2 NIST

Standardi ameriškega zveznega urada za standarde in tehnologijo NIST priporočajo vzpostavljanje varnosti z dobro osnovo ter upoštevanje posameznih ključnih elementov, ki so prikazani na sliki 9 (Smith, 2016, str. 6).

Slika 9: Vzpostavitev varnosti iz osnov (okvir za obvladovanje tveganj).

31

Vir: (Smith, 2016, str. 6)

Smith na sliki 9 prikazuje korake vzpostavitve za doseganje ciljev upravljanja tveganj. Koraki si sledijo zaporedno, nekateri koraki se lahko izvajajo tudi simultano oz. hkrati. Nastali problem lahko odpravimo tako, da opravimo potrebno korekcijo v določenem koraku. Če je korekcija potrebna v zgodnjih fazah oz. korakih, moramo preveriti, ali se bo sistem še vedno lahko pravilno vzpostavil. Velike spremembe zahtevajo ponovno potrditev oz. avtorizacijo informacijskega sistema (torej korak 5.)

Gre za pregled treh splošnih varnostnih problemov, pogosto jih imenujemo kar CIA lastnosti:

zaupnost (organizacija mora varovati nekatere informacije kot zaupne in kako velik vpliv imajo na poslovanje sistemi, ki ne morejo zagotoviti zaupnosti podatkov?),

integriteta (neoporečnost podatkov, kakšen je vpliv na poslovanje, če ne moremo zagotoviti integritete podatkov?).

razpoložljivost (računalniški sistemi podpirajo poslovanje podjetje, kakšne so posledice, če je računalniški sistem ne operativen?).

Tudi McCallister, Grance in Scarfone v svojih raziskovalnih delih razgrajujo pomen računalniške varnosti z uporabo določenega sistema obvladovanja varnosti. Vsaka organizacija se mora odločiti, katere faktorje bo uporabila za določanje stopnje vpliva, in nato na podlagi tega kreira in implementira primerne politike, procedure in kontrole (McCallister, Grance, & Scarfone, 2010, str. ES-2). Npr. lahko uporabi naslednje faktorje:

razpoznavnost (organizacija naj oceni, kako enostavno je moč povezati osebne podatke z določeno skupino posameznikov),

količina podatkov, organizacija mora določiti količino podatkov, ki ima različne vplive na potrebno varovanje podatkov,

občutljivost podatkov, potrebno je določiti stopnjo občutljivosti podatkov zaradi potrebne stopnje varovanja.

področje uporabe, potrebno je določiti področje uporabe za vsako vrsto podatkov,

dolžnost varovanja zaupnosti (glede na zakonsko regulativo in druge pravilnike),

dostop in lokacija podatkov, če lahko dostopa do podatkov več oseb in na večih lokacijah, težje je zagotoviti varnost.

Po Whitmanu in Mattordu lahko metodologijo NIST prikažemo z navedbami posameznih ključnih točk (Whitman & Mattord, 2011, str. 197), slika 10.

32

Slika 10: Model NIST

Vir: (Whitman & Mattord, 2011, str. 197-198)

33

2.8.3 COBIT

ISACA je neodvisna, neprofitna mednarodna organizacija, ki razvija, sprejema in uporablja sprejeta pravila za varnost informacijskih sistemov. V njej deluje veliko število IT strokovnjakov najrazličnejših znanj (poslovnih procesov, upravljanja s tveganji, informacijske tehnologije, idr). Razvili so metodologijo COBIT, katere glavne značilnosti so naslednje:

izboljša učinkovitost in uspešnost IT,

pomaga IT glede razumevanja potreb podjetja,

učinkovito izkorišča sinergijo izkušenj v podjetju in poslovnih potreb,

pripomore k razumevanju vodstva o potrebnih vlaganjih v IT,

vpeljuje učinkovito metodo ocenjevanja, ali so IT storitve v skladu s poslovnimi zahtevami in ali lahko dosežejo pričakovanje rezultate,

pomaga razviti in dokumentirati razne procese in orodja za učinkovito upravljanje IT,

zagotavlja uvajanje splošno sprejete mednarodne prakse, ki je podpora upravam in vodstvu, z namenom da povečujejo vrednost IT in zmanjšujejo tveganja, povezanih z IT.

Na splošno velja, da vpeljava COBIT metodologije v organizaciji pomeni naslednje koristi:

1. vpeljuje skupni jezik komuniciranja med vodstvom, uporabniki in IT strokovnjaki,

2. vodstvo dobi jasno sliko o delu IT in vodstvu pomaga razumeti delo IT, 3. zagotavlja boljše razumevanje poslovnih uporabnikov glede dela strokovnjakov

v IT in izboljšuje njihovo sodelovanje, 4. boljše usklajevanje, osredotočeno na poslovni vidik, 5. zagotavlja boljšo kakovost storitev IT, 6. izboljšuje učinkovitost in optimizacijo stroškov, 7. zmanjšuje operativna tveganja, 8. pripomore k učinkovitejšemu upravljanju IT, 9. pripomore k razvoju učinkovitejšega nadzora, 10. jasno določa lastništvo in odgovornosti, ki temelji na procesni usmerjenosti.

Dejansko je COBIT okvir, ki vključuje razne mednarodne IT standarde, vključno z ITIL tehnologijo. Osrednja področja upravljanja IT so: ustvarjanje vrednosti, upravljanje s tveganji, upravljanje z viri, merjenje uspešnosti izvedbe in strateško usklajevanje (ISACA), kot prikazuje slika 11.

34

Slika 11: Upravljanje IT

Vir: (ISACA)

2.8.4 ITIL

ITIL je kratica za Information Technology Infrastructure Library. To je zbirka knjig z navodili glede uvajanja in kakovostnega upravljanja s storitvami informacijske tehnologije. Izhaja iz mednarodnih standardov družine ISO. Prva različica je bil British standard BS 15000, objavljen leta 2000. Nakar so hitro sledile izboljšave in temu je sledil mednarodni standard ISO20000, ki je bil objavljen leta 2005. Ta certifikat zagotavlja, da organizacija pridobi vse koristi uporabe najboljše prakse na področju upravljanja storitev. Standard določa, da upravljavci informacijskih sistemov in storitev izpolnjujejo zahteve, kot prikazuje model procesa. Da lahko dosežemo popoln pregled vodenja informacijske tehnologije, moramo dokumentirati vse navedene procese (Triz Sigma, 2008).

ISO20000 se povezuje z ISO27001. Zahteve za upravljanje informacijske varnosti v ISO20000 so pod nabor tistih v ISO 27001. Model ITIL na sliki 12 je skupek raznih konceptov in politik za upravljanje informacijske varnosti, z navodili dobrih praks, razne dokumentacije (opisi procesov, postopkov) tako, da si lahko vsako podjetje to prilagodi glede na svoje procese in potrebe informacijske varnosti.

35

Slika 12: Model ITIL

Vir: (Triz Sigma, 2008)

Razvoj ITIL metodologije po letih in mejnike prikazuje slika 13.

Slika 13: Razvoj ITIL-a po letih

Vir: (Rouse)

Mejniki vpeljave ITIL-a so prikazani na sliki 13 in segajo daleč nazaj v 80 leta prejšnjega stoletja. Leta 1989 se pričnejo uvajati standardi na tem področju in ITIL je uvajal standardizacijo upravljanja storitev informacijske tehnologije. V začetku leta 2000 se uvaja ITIL v2, ki vpeljuje več uporabnih modelov za podporo IT storitev. Naslednja verzija ITIL v3 se uvaja leta 2007 in njena značilnost je, da uvaja zanke za izboljšanje življenjskega cikla ITIL storitev. Tako smernice ITIL pokrivajo načrtovanje, uvajanje in delovanje z nenehnim izboljševanjem. Novejša verzija ITIL 2011 pa razširja in pojasnjuje procese ITIL v3, ter dodaja procese s poudarkom na strategiji informacijske tehnologije.

36

Življenjski cikel ITIL je prikazan na spodnji sliki 14, kjer je središče strategija storitev (Service Strategy), okoli katere se izvajajo (Green Pages Technology Solutions):

načrtovanje storitve (Service Design),

prenos storitve (Service Transition),

delovanje storitve (Service Operation).

Okoli vsega pa ves čas poteka nenehno izboljševanje storitve (Continual Service Improvement). ITIL je v tem primeru zbirka postopkov, ki zagotavlja na metodološki način zajem vseh zahtev in stroškov storitev, merjenje zahtev uporabnikov in upravljanje življenjskega cikla informacijske tehnologije (nadgradnje, spremembe, idr).

Slika 14: Življenjski cikel ITIL

Vir: (Green Pages Technology Solutions)

Življenjski cikel ITIL –a se prične s strategijo, ki pripravlja postopke in korake dela z informacijskimi sistemi v podjetju tako, da bodo le-ta zagotovila in ustvarila prave uspešne poslovne rezultate. Strategija tudi priporoča postopke in aktivnosti, ki se lahko v praksi takoj izvedejo, prav tako pa identificira možne izzive in tveganja kritičnih dejavnikov uspeha in pomaga identificirati poslovne priložnosti, ter prilagajanju zahtevam trga (Axelos Global best Practise).

Načrtovanje storitve po ITIL-u zajema napotke, kako lahko določene načrtovane tehnične rešitve uskladimo s procesi dela v podjetju. Ključni dejavniki načrtovanja so t.i. 4P (Itil training):

37

ljudje,

procesi,

produkti,

partnerji.

Prenos storitve v produkcijsko okolje zajema različne postopke, ki zagotavljajo uspešno in pravilno vpeljavo za uporabnike storitve, kakor tudi za člane IT tima, ki je storitev izvedel. Obravnavamo lahko različne postopke, kot so npr. validacija, testiranje, uvajanje, izobraževanje, upravljanje sprememb, dokumentiranje.

Delovanje storitve lahko glede na dobro prakso dosežemo z dogovorom vseh udeleženih strani glede potrebne ravni storitve (z zunanjimi izvajalci lahko sklenemo SLA – Service Level Agreement, ki je standardizirana pogodba z definicijami o obsegu, kakovosti in odgovornosti). V podjetju pa določimo postopke upravljanja dogodkov in incidentov.

Nenehno izboljševanje storitve pa je bistveno za IT storitve, da je podjetje sposobno iti v korak s časom in prilagajati se spreminjajočim potrebam trga. Izboljšave so možne v vsaki fazi življenjskega cikla ITIL, poseben poudarek daje na učinkovitost vseh storitev, procesov in stroškov. Kakovost storitev izboljšuje postopoma in kontinuirano. Z nenehnim izboljševanjem opazujemo in merimo ukrepe za prepoznavanje priložnosti za izboljšave in korektivne ukrepe. V podjetju je zato ključnega pomena nenehno izboljševanje, ker vpliva na:

optimizacijo organizacijske strukture,

optimizacija kadrovskih zmogljivosti,

znanje in usposabljanje zaposlenih ter

optimira tehnologijo in komunikacije.

38

3 STORITVE IN PROCESI ZAVAROVALNIC

Zavarovalništvo je oblika upravljanja tveganj, s katero posameznik prenese stroške potencialne izgube na drugi subjekt v zameno za denarno nadomestilo (t.i. zavarovalna premija) (Pareto, Investopedia).

V osnovah zavarovalništva Cathy Pareto v svojih raziskavah pride do spoznanja, da deluje zavarovalništvo na podlagi združevanja tveganj. To trditev predstavlja teza, da se veliko število ljudi oz. večja skupina posameznikov želi zavarovati pred določeno izgubo in vplačujejo zato premije. In ker je število teh posameznikov tako veliko, lahko zavarovalnice uporabijo statistične analize za ugotovitev dejanskih izgub. Ker pa je statistično dokazano, da ne morejo vsi utrpeti izgube hkrati ali pa sploh ne, je dejansko to razlog, da lahko zavarovalnice donosno poslujejo in plačujejo morebitne zahtevke (Pareto).

Lloyd's zavarovalnica, ki je ena vodilnih na svetu, označuje zavarovanje kot glavni način zmanjševanja finančnega učinka tveganja, ki se pojavlja tako kot pri posamezniku kakor tudi pri organizacijah. Kajti v primer škode lahko povzroči ogromne stroške, ki jih mnogi ne bi zmogli (Lloyd's).

Panza Frece navaja opredelitev zavarovalništva po dr.Bonclju, ki je opredelil zavarovalništvo kot dejavnost, ki ustvarja gospodarsko varnost z izravnanjem gospodarskih nevarnosti. Po drugi strani pa je zanimiva tudi opredelitev nemškega klasika zavarovalniških znanosti Manes, ki opredeljuje zavarovalništvo kot vzajemno zadovoljevanje potreb številnih in na enak način ogroženih oseb, ki nastanejo slučajno in jih je mogoče oceniti (Frece Panza, 2011, str. 9).

Zakon o zavarovalništvu v drugem členu navaja definicijo zavarovalnih poslov, ki so »sklepanje in izvrševanje pogodb o premoženjskem in življenjskem zavarovanju ali pozavarovanju, razen obveznih socialnih zavarovanj«. Nadalje so določene zavarovalne vrste glede na nevarnosti, ki jih zavarovalnice krijejo in jih je 24 vrst. Vsa ta zavarovanja pa lahko združimo oz. razvrstimo v grobem v dve skupini (ZZavar-1, 2015, str. člen 2.):

premoženjska zavarovanja,

življenjska zavarovanja.

V Republiki Sloveniji je delovanje zavarovalnic združeno pod okriljem Slovenskega zavarovalniškega združenja (Slovenian Insurance Association), ki je bilo ustanovljeno leta 1992. To je gospodarsko združenje, njegova dejavnost pa je določena v Zakonu o zavarovalništvu in statutu. Članstvo v združenju je prostovoljno in danes šteje 20 članic (Slovensko zavarovalno združenje). Najpomembnejše naloge Slovenskega zavarovalniškega združenja so:

izpolnjevanje pravic in obveznosti iz Zakona o obveznih zavarovanjih v prometu,

ter izpolnjevanje mednarodnih pogodb in sporazumov s področja mednarodnega zavarovanja avtomobilske odgovornosti in čezmejnih prometnih nesreč.

39

Če pogledamo državo Slovenijo, je blaginja potrošnika na splošno pomembna za celoten zavarovalni sektor in negativen vpliv zavarovalniško dejavnost imajo brezposelnost, visok delež revnih prebivalcev in mnogi stečaji podjetij. Vse to vpliva na povpraševanje po zavarovanjih in negativna stopnja rasti se je pojavila že leta 2009 in od takrat dalje si še ni opomogla. Če primerjamo nekaj statističnih podatkov za leto 2014, so padle premije iz naslova premoženjskih zavarovanj za 1,6% v primerjavi s preteklim letom. In to čeprav gre pri premoženjskih zavarovanjih za visok odstotek deleža obveznih avtomobilskih zavarovanj. Zato je padec neobveznih življenjskih zavarovanj še večji napram prejšnjemu letu in sicer je bil v letu 2014 celo 3,2% (Slovensko zavarovalno združenje, 2015, str. 9).

Tabela 2 prikazuje zbrane premije in izplačane odškodnine v Sloveniji od leta 2010 do leta 2014, ločeno za življenje in premoženje posebej. V tabeli je razviden padec premij in odškodnin.

Tabela 2: Premije in odškodnine po letih v Sloveniji

Vir: (Slovensko zavarovalno združenje, 2015, str. 6)

Tržni deleži posameznih članic Slovenskega zavarovalnega združenja c letu 2014 je prikazan v tabeli 3 (Slovensko zavarovalno združenje, 2015, str. 6). Največji delež zbrane premije v Sloveniji in sicer dobrih 30% ima Zavarovalnica Triglav d.d., ki absolutno vodi pred drugo zavarovalnico, ki je Adriatic Slovenica, Zavarovalna družba d.d. Adriatic Slovenica je zbrala za polovico manj premij kot Zavarovalnica triglav, kar je dobrih 13% celotne zbrane premije v Sloveniji. Adriatic Slovenica je od leta 2005 združena zavarovalnica iz dveh posameznih zavarovalnic, zato obvladuje drugi največji tržni delež v državi. Letos se vrši proces združevanja še dveh slovenskih zavarovalnic in sicer Zavarovalnice Maribor d.d. in Zavarovalnice Tilie d.d., ki bosta združeni predstavljali drugi največji tržni delež v Sloveniji.

Posebna ločena dejavnost je tudi pozavarovanje (zavarovanje zavarovalnic) in sicer v Sloveniji v okviru SZZ delujeta dve pozavarovalnici, Pozavarovalnica Sava d.d. in Pozavarovalnica Triglav Re, d.d. Skupna zbrana premija v letu 2014 je bila 236.521.960 EUR, pri čemer znaša življenjski del 3.139.122 EUR in premoženjski del 233.382.848 EUR. Odškodnine skupaj v letu 2014 znašajo 120.708.196. V zbrani premiji ima Pozavarovalnica Sava dobrih 55%, Pozavarovalnica triglav Re pa slabih 45%.

40

Tabela 3: Tržni deleži članic SZZ glede na zbrano premijo v letu 2014 (v%)

Vir: (Slovensko zavarovalno združenje, 2015, str. 21)

Panza Frece prikazuje subjekte slovenskega zavarovalnega trga in njihovo povezanost v poslovanju na sliki 15.

Slika 15: Subjekti zavarovalnega trga

Vir: (Frece Panza, 2011, str. 14)

41

Zavarovanje je s finančnega vidika izrednega pomena za vsakega posameznika. Zavarovanje je namenjeno zaščiti posameznika in njegove družine s finančnega vidika v primeru nepričakovane nesreče ali izgube. Nekatere oblike zavarovanja so določene z zakonom, torej obvezne, druge so prostovoljne. Ko posameznik sprejme pogoje oz. se strinja s pogoji ob sklenitvi zavarovalne police, postane pogodba med posameznikom in zavarovalno družbo veljavna. V zameno za vplačano premijo, zavarovalnica sprejme odgovornost, da bo plačala določeno vsoto denarja ob nastopu določenega dogodka (ki je odvisen od vrste zavarovanja). Zavarovanja se tradicionalno prodajajo s strani agentov, ki delajo za zavarovalnice. Danes imajo potrošniki na voljo pri agentih celovit pregled vseh možnih kritij, ki jih lahko agentje ponudijo glede na posameznikovo stanje in jim pri tem učinkovito svetujejo. Razširjajo pa se tudi spletne ponudbe zavarovalnic, kjer lahko posameznih sam primerja določene ponudbe različnih zavarovalnic ne samo za primerjavo informacij, temveč se lahko tudi odloči ter sklene polico kar sam preko spleta. Sklenitev več kot ene police pri posamezni zavarovalnici seveda prinaša določene popuste, zato se mnogi še vedno odločajo za osebni kontakt z agenti (Investorguide).

Tudi Frece Panza opredeljuje osnovni namen zavarovanja kot zaščito premoženja in oseb pred različnimi nevarnostmi ali nepredvidljivimi dogodki, ki lahko povzročijo škodo posamezniku. Opredeljuje tudi pojem rizika, ki je vsak nepričakovan dogodek v prihodnosti in določa tudi prvine zavarovalne storitve na spodnji sliki 16, ki so predmet zavarovanja, zavarovana nevarnost, čas trajanja in oblika zavarovalnega kritja (Frece Panza, 2011, str. 19).

Slika 16: Prvine zavarovalne storitve


Osebe, ki nastopajo pri sklenitvi zavarovalne pogodbe so naslednje: zavarovalnica (kot zavarovatelj), zavarovalec (kot sklenitelj oz. tisti, ki plača premijo), zavarovanec (oseba, katere premoženje ali interes je zavarovan) in upravičenec (oseba, ki prejme izplačilo v primeru nepredvidenega dogodka). Zavarovalno pogodbo pa sestavljajo naslednje sestavine: zavarovalna polica, zavarovalni pogoji in klavzule in premijski cenik (Frece Panza, 2011, str. 31-32).

V zavarovalništvu pa obstaja tudi kolizija interesov: interes posameznika za čim večji zaslužek na eni strani in interes zavarovalnice za ugotovitev dejanskega stanja in čim

42

nižje izplačilo zavarovalnine in skupna točka obeh sta zakon o varstvu osebnih podatkov in zakon o zavarovalništvu (Mišič, 2013, str. 3).

Zato se osebni podatki v zavarovalništvu lahko obdelujejo v primerih, kjer to določa zakon ali pa posameznik osebno privoli v obdelavo le-teh. V primerih, kjer zakon določa obdelavo osebnih podatkov, mora biti jasno opredeljen namen zbiranja. Če pa posameznik privoli v obdelavo, mora biti predhodno pisno obveščen o namenu ali kakor koli drugače jasno in nedvoumno seznanjen z namenom obdelave osebnih podatkov. Pri tem naletimo na težavo v dokazovanju seznanjenosti strank z namenom obdelave, kajti seznanjenost ni potrebno pisno potrditi. Mišič v svoji predstavitvi posebej opozori na načelo sorazmernosti pri zbiranju osebnih podatkov. Zbiranje osebnih podatkov mora biti ustrezno in tudi primerno po obsegu glede na namen. Pomemben segment pa predstavlja zavarovanje osebnih podatkov, ki obsega:

varovanje prostorov, aplikativne programske opreme in sistemske programske opreme,

preprečevanje nepooblaščenega dostopa do osebnih podatkov pri prenosu (telekomunikacijska sredstva in omrežja),

vpeljava blokiranja, izbrisa, uničenja ali anonimizacije osebnih podatkov,

revizijske sledi, ki morajo omogočiti naknadno ugotavljanje, kdo, kdaj in za kakšen namen je obdeloval osebne podatke, ter jih posredoval v nadaljnjo obdelavo.

Za vse te vidike je pomembna priprava in vzdrževanje določenih dokumentacij in aktov v podjetju, v katerih so zapisani postopki in ukrepi za zavarovanje osebnih podatkov ter odgovorne osebe.

Zato navaja napotke za učinkovito zavarovanje osebnih podatkov med drugim tudi (Mišič, 2013, str. 22):

omejiti uporabo prenosnih nosilcev podatkov, kot so USB ključki in podobni mediji (zelo enostavna uporaba, težji nadzor in varovanje v primerih odtujitve ali izgube),

osebne podatke ne shranjujmo na strežnike, ki so povezani s svetovnim spletom (v te namene si postavimo posebne strežnike, ločene in z omejenimi dostopi),

v primerih, kjer obstaja brezžično omrežje, ga zaklenemo in omejimo na dostop iz lokalnih točk (npr. dostop samo iz določenih IP naslovov).

Dnevnik dogodkov (t.i. log datoteke) naj bodo primerno izdelane in naj vsebujejo vse pomembne podatke,

Nakup dobrega protivirusnega programa in njegove redne posodobitve se nam bo obrestovalo,

Namestitev in pravilna nastavitev protipožarnega zidu.

43

4 MODEL VZPOSTAVITVE VAROVANJA OSEBNIH PODATKOV V ZAVAROVALNICI

4.1 Vzpostavitev procesa za zagotovitev poslovanja po načelih varovanja osebnih podatkov

Upravljavci osebnih podatkov lahko vzpostavijo sistem po principu vodenja projektov, pri čemer je vodenje in delovanje podjetja v skladu z ZVOP-1 nenehna naloga. Zato morajo zagotoviti nekatere tehnične in organizacijske pogoje za delo v skladu z ZVOP-1, kot so (Informacijski pooblaščenec):

priprava in sprejetje notranjih aktov v podjetju (pravilnik o varstvu osebnih podatkov, kataloge zbirk osebnih podatkov, operacijske predpise, s katerimi določamo odgovornosti in dodeljujemo dostope zaposlenim),

zahteve informacijskega sistema in aplikativne programske opreme: o biti sposobni posamezniku na njegovo zahtevo posredovati izpis iz baz

podatkov (katere njegove osebne podatke vodi podjetje v bazah, za kakšen namen jih obdeluje, kdo je vpogledal in kakor koli obdeloval njegove osebne podatke in komu jih je podjetje posredovalo). Torej informacijski sistem in programska oprema podjetja mora to zagotavljati.

o Informacijski sistem in programska oprema podjetja morata tudi zagotavljati sledljivost obdelav osebnih podatkov, torej dnevnike logiranja uporabnikov ter zapise, katere vrste obdelav so izvajali nad osebnimi podatki (vpogled, spremembo, izbris, dodajanje).

o zagotavljati primerno stopnjo varovanja elektronskih podatkovnih baz (pred morebitnimi nepooblaščenimi dostopi, vdori v sistem, pred zlonamerno kodo, idr.)

o po končani izpolnitvi namena obdelave osebnih podatkov moramo podatke iz informacijskega sistema izbrisati, blokirati ali anonimizirati, ter tudi uničiti (npr. prenosne medije moramo uničiti, kot so USB ključki, DVD-ji, ipd).

Vzpostavljen sistem dodeljevanja dostopov uporabnikom do baz podatkov in aplikativne programske opreme (npr. varnostna politika dodeljevanja dostopov do informacijskega sistema).

4.1.1 Načrtovanje procesa za zagotovitev poslovanja po načelih varovanja osebnih podatkov

Kot pri vsakem projektu moramo zagotoviti nekatere ključne elemente, da lahko zagotovimo uspešno izvedbo in vzdrževanje. Za to obstaja na trgu več primernih orodij, med drugimi tudi MS Project. S tem orodjem lahko zelo učinkovito vodimo projekte, načrtujemo delo, resurse (tehnične, človeške), sledimo izvajanju, vodimo stroške in analiziramo delovne obremenitve resursov (ljudi in tehnične opreme) (Wikipedia). Ganttov diagram prikazuje slika 17.

44

Slika 17: Ganttov diagram

Vir: (Wikipedia)

Načrtovati moramo:

tim oseb, ki bodo vključene v projekt,

izdelavo vse potrebne dokumentacije po ZVOP-1 (pravilnik o varstvu osebnih podatkov, kataloge zbirk osebnih podatkov, postopke varovanja osebnih podatkov in določiti odgovorne osebe),

zagotovitev informacijske varnosti s tehničnega in organizacijskega vidika (lahko tudi vodimo kot projektno nalogo).

4.1.2 Pravilnik o varstvu osebnih podatkov

24. in 25. člen zakona o varstvu osebnih podatkov obravnava zavarovanje osebnih podatkov v organizaciji in sicer mora le-to zajemati organizacijske, tehnične in logično-tehnične postopke in ukrepe za varstvo osebnih podatkov. To mora obsegati: varovanje prostorov, opreme in sistemske programske opreme, varovanje aplikacij, preprečevati dostop nepooblaščenim osebam do podatkov (tudi pri prenosu), zagotavljati učinkovit način blokiranja, uničenja, izbrisa ali anonimiziranja podatkov, revizijske sledi. Dostopi do podatkov morajo biti omejeni na osebe, ki podatke potrebujejo samo za izvajanje svojega delovnega procesa. Tudi za pogodbene izvajalce morajo veljati pravila, po katerih smejo delovati. Vsi ti postopki in ukrepi mora biti v organizaciji zapisani in sprejeti, vsi zaposleni pa morajo strogo delovati pa zapisanih pravilih.

To lahko organizacija doseže z izdajo Pravilnika o zavarovanju osebnih podatkov. Pravilnik mora biti sestavljen iz več sklopov in morajo zajemati naslednja področja (Informacijski pooblaščenec):

45

splošne določbe, kjer navajamo natančen namen pravilnika in opredelitev izrazov, ki se uporabljajo v nadaljevanju pravilnika (v izogib napačnega razumevanja izrazov s strani zaposlenih),

določila glede varovanja prostorov in računalniške opreme (kakšne vrste varovanja moramo vpeljati, hišni red, kakšni so postopki za vzdrževanje in popravila opreme s strani zunanjih izvajalcev, idr.),

določila glede varovanja informacijskih sredstev, računalniške sistemske in programske opreme, varovanje podatkov (določila glede dostopov do podatkov, katere pooblaščene osebe dodeljujejo dostope do sistemov in podatkov v skladu s sprejetim postopki dodeljevanja dostopov, ipd.),

opredelitev določil glede sodelovanja z zunanjimi izvajalci in sicer glede na dejavnost, ki jo izvajajo,

splošna določila o sprejemanju in posredovanju osebnih podatkov v organizaciji glede na vlogo osebe, ki osebne podatke obdeluje v okviru izvajanja svojih rednih del in nalog,

brisanje podatkov, določila za pravilno izvajanje teh opravil izbrisa, uničenja, blokiranja ali anonimiziranja na različnih medijih,

odgovornosti za izvajanje varnostnih ukrepov in postopkov, zaposleni v organizaciji se morajo natančno zavedati svojih pooblastil in dolžnosti glede izvajanja varnostnih ukrepov pri varovanju osebnih podatkov.

4.1.3 Katalogi zbirk osebnih podatkov in operacijski predpisi o postopkih in ukrepih za varstvo zbirk osebnih podatkov

Katalog zbirke osebnih podatkov je dokument, ki ga mora organizacija, ki nastopa kot upravljavec zbirke osebnih podatkov, prijaviti na spletni strani Informacijskega pooblaščenca, torej je prijava v elektronski obliki. Postopek je določen za prijavo vseh katalogov tako, da po elektronskem vpisu kataloga v register, le-tega natisnemo, ter ga podpisanega s strani odgovorne osebe v organizaciji pošljemo v fizični obliki na naslov Informacijskega pooblaščenca v roku 14 dni.

26. člen Zakona o varstvu osebnih podatkov navaja obvezne točke, ki jih mora organizacija kot upravljavec osebnih podatkov, izpolniti in sicer so to poleg splošnih podatkov (naziv organizacije, podatki o organizaciji, pravne podlage za vodenje tega kataloga) tudi natančno opredeljeni načini obdelave zato, da je lahko posameznik iz pregleda kataloga na spletu seznanjen, kaj se z njegovimi osebnimi podatki dogaja, kdo jih vpogleduje, kako dolgo se hranijo, komu se posredujejo, kako so zavarovani, ipd. (Informacijski pooblaščenec).

V poglavju 3 o zavarovalniški dejavnosti smo predstavili zavarovalništvo, kjer lahko po zakonu o zavarovalništvu zbirajo osebne podatke za 24 zavarovalnih vrst in za vsako po tri vrste osebnih podatkov, kot to določa 268. člen zakona o zavarovalništvu (ZZavar-1, 2015). To so podatki o:

zavarovalcih,

o škodnih dogodkih,

podatki za presojo zavarovalnega kritja.

46

To je skupaj kar 72 različnih kategorij podatkov s področja zavarovalništva, dodatno pa še približno 30 zbirk s področja splošnega poslovanja, kadrovskega, računovodskega področja, tako pridemo na več kot 100 katalogov zbirk osebnih podatkov, ki jih morajo zavarovalnice prijaviti pri Informacijskemu pooblaščencu (IEPRI).

Povzeto po dr.Berčiču, lahko skladno z registrom zbirk osebnih podatkov v organizaciji vodimo tudi operacijske predpise o vodenju zbirk osebnih podatkov. Operacijski predpisi določajo konkretne postopke in ukrepe za varovanje osebnih podatkov v organizacijah, kjer se obdelujejo ogromno število osebnih podatkov različnih vrst in je potrebno vpeljati natančen sistem postopkov in ukrepov pri zbiranju, obdelovanju, shranjevanju, posredovanju in uporabi.

Upravljavec osebnih podatkov oz. organizacija za vsako prijavljeno evidenco osebnih podatkov določi:

1. odgovorne osebe za posamezne zbirke osebnih podatkov, 2. vsebinske sklope pravic oz. dolžnosti v zvezi z obdelavo podatkov iz posameznih

evidenc ter 3. delovna mesta oz. osebe, ki so nosilci teh pravic oz. dolžnosti v zvezi z obdelavo

podatkov iz posameznih evidenc (pooblaščene osebe za obdelavo osebnih podatkov).

4.1.4 Pogodbe o obdelovanju osebnih podatkov s pogodbenimi izvajalci

Pogodbena razmerja med organizacijami kot upravljavci osebnih podatkov in pogodbenimi podizvajalci uravnava 11. člen Zakona o varstvu osebnih podatkov (ZVOP-1, 2016), ki med drugim navaja da sme upravljavec osebnih podatkov zaupati pogodbeno obdelavo podizvajalcu samo na podlagi sklenjene pogodbe. Pri čemer mora biti pogodbeni podizvajalec za to dejavnost, s katero smo mu s pogodbo obdelavo osebnih podatkov zaupali, registriran.

V pogodbi moramo navesti natančno vrsto obdelave in jih ne sme obdelovati za noben drug namen. Pravice on obveznosti mora uravnavati sklenjena pogodba o obdelovanju oz. procesiranju osebnih podatkov. Upravljavec mora nadzirati obdelavo osebnih podatkov pri pogodbenem izvajalcu in mora to možnost nadzora zapisati tudi v pogodbi. V primeru prekinitve sodelovanja pa mora pogodbeni izvajalec takoj vrniti vse osebne podatke upravljavcu, morebitne kopije pa uničiti.

Pogodba lahko vsebuje različne člene, v glavnem pa se lahko ravnamo po primeru, objavljenem na strani Informacijskega pooblaščenca (Informacijski pooblaščenec), ki predlaga, da pogodba poleg splošnih členov vsebuje tudi natančen opis namena obdelave osebnih podatkov, kdo lahko do njih dostopa, kakšno varovanje prostorov in informacijskega sistema mora zagotavljati, kakšne obveznosti ima pogodbeni izvajalec glede hrambe in obdelave podatkov, ipd.

47

4.2 Vzpostavitev informacijske varnosti za zagotovitev delovanja po načelih varovanja osebnih podatkov

4.2.1 Vzpostavitev informacijske varnosti

Vloga varnostnih inženirjev v podjetjih se je v zadnjih 25 letih zelo spremenila in pridobila na pomenu. Več let so skupine, odgovorne za informacijsko varnost v podjetju, oblikovale oz. pripravile osnove za tipični program za varovanje podatkov, ki zajema tehnične in organizacijske komponente. Peltier navaja v svojem raziskovalnem delu naslednje komponente: kontrola požarnega zidu, upravljanje tveganj, analiza poslovnih učinkov, nadzor virusov in skupine oseb, odgovorne za nadzor virusov, določitev računalniške ekipe za ukrepanje ob nesrečah, preiskave računalniškega kriminala, enkripcija, kontrola elektronske pošte, zvočnih sporočil, interneta, politike in kontrole socialnih medijev, informacijski varnostni program na splošno v organizaciji, kontrole špijonaže, pogodbe o varovanju poslovne skrivnosti, zakonske zahteve, kontrola interneta, načrt neprekinjenega poslovanja, elektronski podpisi, varnostno logiranje (single sign-on), klasifikacija podatkov, lokalno računalniško omrežje, kontrola oddaljenega dostopa, program ozaveščanja o informacijski varnosti (Peltier, 2014, str. xiii).

Komponente informacijske varnosti predstavimo po naslednjem zaporedju (Whitman & Mattord, 2011, str. 22):

Prepoznati potrebe po informacijski varnosti.

Priprava pravnih podlag in drugih vsebinskih vprašanj glede informacijske varnosti.

Analiza informacijske varnosti in upravljanje tveganj (katera tveganja nam pretijo in kako jih želimo obvladovati z informacijsko varnostjo).

Načrtovanje varnosti (modeli informacijske varnosti, dobre prakse, standardi).

Načrtovanje fizičnega varovanje (dostopne kartice, varnostniki, alarmne naprave).

Vpeljava informacijske varnosti (tehnologija, kot je požarni zid in VPN dostopi, zaznavanje vdorov, kontrole in nadzor nad dostopi in druge varnostni mehanizmi, kriptografija).

Vzdrževanje informacijske varnosti, nadaljnji razvoj in obvladovanje sprememb.

Informacijska varnost mora pokrivati vse posamezne komponente, in moramo biti pozorni na segment prekrivanja posameznih področij: upravljanje informacijske varnosti, varnost podatkov in varnost omrežja. Področje, kjer gre za prekrivanje pa so varnostne politike, ki jih prikazuje slika 18. Torej politike informacijske varnosti so skupne vsem trem komponentam in jih vsebinsko opredeljujejo.

48

Slika 18: Komponente informacijske varnosti

Vir: (Whitman & Mattord, 2011, str. 1/9)

Z vidika projektnega upravljanja informacijske varnosti lahko izpostavimo dejstvo, da mora vodstvo prepoznati potrebo za informacijsko varnost v podjetju in določiti izvedbo po naslednjih fazah oz. sklopih (Whitman & Mattord, 2011, str. 435):

Postopki in procedure (npr. politike),

Ljudje, vloge zaposlenih v podjetju, izobraževanje),

Strojna oprema (npr. zaščita s požarnim zidom),

Programska oprema (npr. zaščita z enkripcijo),

Podatki.

Brezavšek in Moškon glede vzpostavitve sistema za upravljanje informacijske varnosti v podjetju navajata, da raste vloga sistema upravljanja informacijske varnosti prav zaradi močne odvisnosti poslovnih procesov od informacijske tehnologije ter nastanek vedno večjih tveganj pri poslovanju zaradi te odvisnosti od informacijske tehnologije. Cilj je zagotavljanje razpoložljivosti, zaupnosti in celovitosti informacijskega sistema.

Za učinkovito vpeljavo sistema upravljanja informacijske varnosti lahko predstavimo 4 faze vzpostavitve po ISO/IEC 27001 (Brezavšček & Moškon, 2010, str. 102), kot prikazuje slika 19:

1. načrt, 2. uvedba, 3. vzpostavitev sistema in nadzor, 4. analiza odstopanj in izvajanje korektivnih ukrepov.

To je proces, ki se nikoli ne konča in ga zato ne smemo razumeti kot enkratna naloga in moramo načrtovati vire tudi za nadaljnje aktivnosti.

49

Slika 19: Procesni pristop vzpostavitve sistema varovanja informacij

Vir: (Brezavšček & Moškon, 2010, str. 103)

Podlago za vzpostavitev sistema varovanja informacij predstavlja primerna in potrebna dokumentacija, ki jih je potrebno izdelati in jo lahko prikažemo v piramidni strukturi, ki jo predstavlja slika 20.

Slika 20: Piramidna struktura dokumentov v sistemu varovanja informacij

Vir: povzeto po Avoine G. Computer system security, Lausanne (2007) (Brezavšček & Moškon, 2010, str. 102)

Izjemno pomemben faktor pri vzpostavitvi tega sistema je človeški faktor, in to na vseh nivojih odločanja in izvajanja:

najvišje vodstvo podjetja-odločitev za vzpostavitev sistema mora sprejeti najvišje vodstvo podjetja,

zaposleni- vsi zaposleni kot lastniki informacij in kot vzdrževalci dokumentacije se morajo zavedati odgovornosti in biti primerno izobraženi oz. informirani.

50

Raziskava Veharja, Brezavškove in Kerna se v članku »Projekt vpeljave sistema upravljanja informacijske varnosti v organizaciji« osredotoča na informacijsko varnost in njeno uvajanje v podjetje, ter jo prikaže tudi z fazami načrtovanja po ISO/IEC 27003 in pričakovanimi rezultati posameznih aktivnosti. ISO/IEC 27003 namreč priporoča faze načrtovanja uvajanja sistema in kakšni naj bodo rezultati oz. dokumenti posameznih faz, slika 21.

Slika 21: Faze načrtovanja sistema varovanja informacij

Vir: (Vehar , Brezavšek , & Kern, 2013, str. 33)

Dandanes je v podjetjih že vsak poslovni proces podprt tudi z informacijsko tehnologijo, zato moramo poskrbeti za primerno in ustrezno informacijsko varnost. Pri tem se nam postavlja pomembno vprašanje in sicer »kako se lotiti planiranja vpeljave sistema informacijske varnosti« in odgovor je prav v prikazanem sistemu zaporednih faz po ISO/IEC 27003 (slika 20). Podjetja pa morajo sama določiti, koliko virov in časa bodo namenili vsaki posamezni fazi in aktivnosti v sklopu posamezne faze projekta. Seveda se mora vzpostaviti zavedanje pri zaposlenih, da ne gre za enkraten projekt, temveč stalen proces, ki ga moramo preverjati in izboljševati.

Posamezne varnostne politike se sestojijo iz vnaprej določenih točk, ki morajo biti jasno opredeljene in razumljive vsakemu posamezniku. Ena od točk mora navajati tudi obveznosti zaposlenih če ne izvršujejo določila varnostne politike. Zaposleni se morajo namreč zavedati, da ima ne izvrševanje varnostnih mehanizmov v podjetju lahko zanj negativne posledice in kazensko odgovornost. Enako se morajo odgovornosti izvrševanja varnostnih politik zavedati tudi vsi pogodbeni izvajalci, ki delujejo v podjetju.

Zato je pomembna metoda bikovega očesa (Bull's eye method, (Whitman & Mattord, 2011, str. 446), ki na sliki 22 prikazuje, kje v podjetju so umeščene varnostne politike in

51

sicer zaobjemajo celotno delovanje aplikacij, sistema in omrežja. Fokusirani moramo biti na sistemske rešitve in ne na posamezne probleme. Tako predstavljajo politike prvi obroč, pod katerega spadajo ostale prvine.

Slika 22: Bull's Eye Method

Vir: (Whitman & Mattord, 2011, str. 446)

Varnostne politike, ki so po ISO/IEC 27001 razvrščene v posamezne sklope in področja, naj bodo zapisane po enaki strukturi, npr. po naslednjih točkah:

Naslov oz. glava dokumenta: naslov politike, oznaka dokumenta, verzija, datum nastanka, datum zadnjega pregleda.

Namen dokumenta naj jasno opredeli področje namena, kaj želimo s točno določeno varnostno politiko doseči (npr. namen politika gesel je določitev pravil za dodeljevanje gesel in ravnanje z njimi, ipd).

Obseg politike, katere vire politika pokriva (npr. politika gesel pokriva vsa uporabniška gesla na nivoju omrežja, sistemov, aplikacij… in velja za: zaposlene, pogodbenike, idr.)

Opredelitev pojmov je pomembna točka, kajti pojmi, ki so navedeni v nadaljevanju posamezne politike morajo biti vsem razumljivi, npr. kdo je uporabnik, kaj je informacijski vir, idr.

Politika, v tej točki natančno opredelimo posamezne postopke, ki so potrebni za obvladovanje varnostnih zahtev (npr. v politiki gesel navedemo, kako uporabniku izdamo geslo, kakšen je postopek hrambe gesla, postopek menjave gesla, postopek kreiranja gesla, idr).

Odgovornosti so posebej pomembne, kajti uporabniki nekih dobrin se morajo zavedati, kakšne so njihove odgovornosti pri uporabi le-teh in če ne delujejo v skladu s postopki, lahko ima to tudi različne posledice.

52

Zgodovina dokumenta je pomembna, kajti le tako lahko sledimo razvoju in spremembam v posameznih časovnih obdobjih in ugotavljamo, kakšne so bile varnostne zahteve v starih verzijah dokumentov.

Primer pripravljenih varnostnih politik v zavarovalnici, primer tabela 4:

Tabela 4: Seznam varnostnih politik

VP 01 Informacijske varnostne politike (Dodatek A- A.5)

VP 01-01 Poslovnik Informacijske Varnosti

verzija Datum sprejetja

VP 01-02 Spisek varnostnih politik

VP 01-03 Politika upravljanje tveganj

VP 02 Organiziranje informacijske varnosti (dodatek A- A.6)

VP 02-01 Politika mobilnih naprav

VP 02-02 Politika dela na daljavo

VP 03 Varovanje človeških virov (Dodatek A- A.7)

VP 03-01 Politika varovanja človeških virov

VP 03-02 Politika primerne rabe informacijske tehnologije

VP 04 Upravljanje dobrin (Dodatek A- A.8)

VP 04-01 Politika upravljanja dobrin

VP 05 Nadzor dostopa (Dodatek A- A.9)

VP 05-01 Politika nadzora dostopa

VP 05-02 Politika uporabe gesel

VP 06 Kriptografija (Dodatek A- A.10)

VP 06-01 Politika kriptografije

VP 07 Fizična in okoljska varnost (Dodatek A- A.11)

VP 07-01 Politika fizičnega varovanja

VP 07-02 Politika čiste mize in

53

zaslona

VP 08 Varnost operacij (Dodatek A- A.12)

VP 08-01 Politika varnosti operacij

VP 08-02 Politika varnostnega kopiranja

VP 08-03 Politika zaščite pred zlonamerno programsko opremo

VP 09 Varnost komunikacij (Dodatek A - A.13)

VP 09-01 Politika varnosti komunikacij

VP 09-02 Politika uporabe elektronske pošte

VP 09-03 Politika uporabe interneta

VP 10 Pridobivanje, razvoj in vzdrževanje sistemov (Dodatek A- A.14)

VP 10-02 Politika razvoja in vzdrževanja sistemov

VP 11 Odnosi z dobavitelji (Dodatek A- A.15)

VP 11-01 Politika odnosov do dobaviteljev

VP 12 Upravljanje informacijskih varnostnih incidentov (Dodatek A- A.16)

VP 12-01 Politika upravljanja incidentov

VP 13 Vidiki informacijske varnosti pri upravljanju neprekinjenega poslovanja (Dodatek A- A.17)

VP 13-01 Politika upravljanja neprekinjenega poslovanja IT (poslovna skrivnost)

Vir: lasten

4.2.2 Zagotavljanje delovanja v skladu z varnostnimi politikami

Najvišje vodstvo podjetja sprejme varnostne politike, ki so skupek navodil in postopkov za zaposlene. Varnostne politike so pravilniki o delu in jih mora poznati vsak zaposleni v podjetju.

54

Projektni tim, ki je pripravljal informacijsko varnost, mora zagotavljati tudi njegovo izvrševanje, seveda ob popolni podpori vodstva. To lahko obravnavamo z dveh vidikov:

Človeški faktor – zaposleni morajo delovati v skladu s pravili. Človeški faktor in pravila poslovanja sta izredno pomembna v segmentih, kjer moramo organizacijsko zagotavljati izvedbo varnostnih politik in se nanaša na vse vrste organizacijskih enot v podjetju

Tehnični faktor – strojna in programska oprema morata zagotavljati in udejanjati vse zahteve varnostnih politik in se nanaša predvsem na delovanje organizacijske enote IT v podjetju.

Zato je pomembno, da so dokumenti informacijske varnosti (poslovnik informacijske varnosti kot krovni dokument in posamezne varnostne politike objavljene in vedno dosegljive zaposlenim, ki jih potrebujejo pri svojem delu. Zaradi delovnih obveznosti vsakega posameznega zaposlenega pa je pomembno večkratno izobraževanje in osveževanje znanja v obliki kratkih testov (preko interneta), predstavitev, seminarjev, kratkih elektronskih sporočil, ipd.

4.2.3 Redni pregledi delovanja informacijskih sistemov

Revizija informacijskih sistemov ima pomembno vlogo pri zagotavljanju informacijske varnosti in s tem pri varovanju osebnih podatkov v informacijskih sistemih (ISACA). V Sloveniji je vse bolj razširjena potreba po revizorjih informacijskih sistemov, ki morajo posedovati prav posebna informacijska znanja za opravljanje tega dela in doseganje učinkovitih rezultatov, ter dolgoletne izkušnje. Revizorji IT imajo poglobljeno znanje tudi glede vseh vrst področij informacijske dejavnosti, kakor tudi informacijske in komunikacijske tehnologije. Kot zanimivost lahko opozorimo na dejstvo, da je v zadnjih letih močno spremenjena vloga internih revizorjev, ki vedno bolj ocenjujejo kontrolne sisteme tudi v finančnih institucijah, kot so banke in zavarovalnice. V preteklosti je bil poudarek na kontroli dela, danes se postavlja v ospredje kontrola sistemov v smislu njihove uspešnosti in učinkovitosti uporabe informacijske tehnologije. Tako v svetu polovica internih revizij že zaposluje revizorjev IT sistemov.

Slovenski odsek ISACA opredeljuje revizijo kot pregled, katerega namen je zagotovitev, da je sistem, ki smo ga pregledali, urejen v skladu z zakoni, pravili, standardi in dobrimi praksami. Pojem informacijskega sistema pa obsega sistem zbiranja, obdelovanja, prikazovanja in hranjenja podatkov z uporabo informacijske tehnologije.

Revizija informacijskih sistemov zato pregleduje informacijske sisteme, ali so v skladu s pravili (zakoni, predpisi, standardi) in dobrimi praksami na tem področju. Revidiranje informacijskih sistemov je najbolje opredeljeno s standardi, katerih cilji so:

Postaviti revizorjem jasno mejo med sprejemljivimi in nesprejemljivimi metodami dela glede kakovosti izvedbe dela,

Posredovati pridobljene informacije po končani reviziji tudi vodstvu podjetja in jim pojasniti pričakovanja stroke glede dela IT strokovnjakov v njihovih podjetjih.

55

Informacije morajo izpolnjevati določena merila, kot so učinkovitost, zmogljivost, zaupnost, razpoložljivost, skladnost, zanesljivost. Sredstva, ki jih imamo na razpolago za obdelavo poslovnih procesov, pa so predmet pregleda (revizije):

Podatki (aplikacije),

Tehnologija (strojna in sistemska programska oprema, komunikacije,…),

Pomožne računalniške naprave,

Zaposleni, znanje in njihove izkušnje.

Zato je pomen revizije IT sistemov izredno pomemben z vidika ocene, ali naša uporabljena računalniška tehnologija poleg zagotavljanja doseganja naših poslovnih ciljev tudi učinkovito omogoča:

preprečevanje zlorab, vdorov, kraj ali poneverb podatkov,

brezhibno delovanje informacijskega sistema in brez izgub podatkov ob nepredvidenih prekinitvah.

4.2.4 Obvladovanje vstopnih točk zbiranja osebnih podatkov

Katere podatke lahko zbiramo od posameznika, določajo pravne podlage ali osebna privolitev posameznika, točno določen namen zbiranja osebnih podatkov (ki mora biti zakonit), in sorazmernost obdelave (npr. za pošiljanje računov, potrebujemo samo naslov in ne tudi števila družinskih članov). Informacijski pooblaščenec priporoča upoštevanje naslednjih načel pri varstvu osebnih podatkov, ki so poštenost, zakonitost in sorazmernost (Informacijski pooblaščenec, 2009, str. 5).

To je osnova za obvladovanje vstopnih točk zbiranja osebnih podatkov, v nadaljevanju pa bomo navedli glavne vstopne točke.

V grobem lahko v zavarovalništvu opredelimo zavarovalno storitev na dva dela (Frece Panza, 2011, str. 80), slika 23:

Pred prodajno storitev s ciljem sklenitev zavarovanja,

poprodajna storitev kot je cenitev, likvidacija in izplačilo po nastanku zavarovalnega primera.

Slika 23: Izvajanje zavarovalnih storitev


56

4.2.4.1 Sklenitev zavarovanja

Pri tem pri sklenitvi police zbiramo osebne podatke na podlagi vprašalnika oz. obrazca (izpolniti moramo ponudbo ali polico). Zavarovalne police za sklenitev zavarovanja so pred tiskani obrazci in primer vsebovanih podatkov na takšni polici je razdeljen na tri sklope, ter jih prikazuje slika 24.

Slika 24: Struktura zavarovalne police


Obvladovanje zbiranja osebnih podatkov v elektronski obliki za sklenitev ponudbe ali police ter obravnavanje škodnega dogodka je možno samo z izvajanjem strogih pravil dostopov do sistemov. Torej ISO/IEC 27001 določa natančna pravila glede dostopov do sistema (npr. z izvajanjem varnostnih politik, kot so politika uporabe gesel, politika dostopa do sistema), kakor tudi z doslednim izvajanjem pravilnika o varstvu osebnih podatkov v organizaciji.

4.2.4.2 Prijava in likvidacija škode

Prijava škodnega primera sproži proces likvidacije škode (reševanje škodnega primera z namenom povračila škode). Zavarovanec mora na osnovi zavarovalne pogodbe prijaviti škodni primer na določenem obrazcu, ki ga izda zavarovalnica. Ker je vsaka nastala škoda nekaj posebnega, zavarovalnice pri ugotavljanju škode in k procesu reševanja pristopijo individualno (Frece Panza, 2011, str. 79). Osebni podatki na obrazcih za

57

prijavo škodnega dogodka se razlikujejo glede na zavarovalno vrsto, iz katere je nastal zavarovalni primer. Spodnja slika 25 prikazuje poenostavljen primer prijave škodnega dogodka, na spletnih straneh zavarovalnic pa najdemo objavljene vzorce obrazcev za prijavo škodnih dogodkov za vsako posamezno zavarovalnico. Vsi obrazci pa v splošnem zajemajo osnovne osebne podatke, ki so ime in priimek, naslov in telefonska številka zavarovanca in oškodovanca, datum nastanka škode, vzrok nastanka škode, opis, idr.

Slika 25: Poenostavljen primer obrazca za prijavo zavarovalnega primera


4.2.4.3 Klicni center

Naslednja vstopna točka osebnih podatkov v zavarovalništvu, ki jo moramo obvladovati, je klicni center. Poleg tradicionalne prodaje zavarovanj preko agentov se povečuje tudi pomembnost sodobnih klicnih centrov, ki ima vse večjo vlogo v podpori sklepanju zavarovanj in pomaga pri povečanju prodaje z najrazličnejšimi načini, kot so (insuranceblog.accenture.com, str. 6). Klicni centri zagotavljajo podporo prodaji, spletni

58

klepeti so vedno bolj razširjeni, zavarovalnicam pa zmanjšujejo stroške. Pri tem prihaja do obdelave osebnih podatkov, saj mora v večini primerov stranka posredovati osnovne podatke, če želi zanesljivo informacijo oz. se z osebnimi podatki srečujejo pri podpori navzkrižne prodaje (ang. cross-sell), kar pomeni da iz klicnih centrov kontaktirajo obstoječe stranke, pridobijo dodatne informacije in jim na podlagi njihovih obstoječih in novih podatkov ponudijo dodatne produkte. Od klicnih centrov se pričakuje vedno bolj, da na trgu ugotavljajo potrebe strank, te potrebe identificirajo za vsako stranko posebej in zanjo prilagodijo ponudbe – torej na osnovi zelo osebnih informacij personalizirajo ponudbe.

Obdelovanje osebnih podatkov v klicnih centrih in povezanost klicnih centrov v proces zavarovalništva na primeru prijave škode prikazuje slika 26.

Slika 26: Model komunikacije in dostop do podatkov pri prijavi škode

Vir: (Amant, 2010, str. 568)

Model komunikacije prikazuje dostopnost do podatkov v procesu prijave in likvidacije škode in prikazuje primer, ko stranka rešuje svoj primer preko klicnega centra (točka 2.), Ugotovimo, da zaposleni v klicnem centru preko direktnega dostopa do baze podatkov v zavarovalnici dostopajo do vseh osebnih podatkov stranke (točka 3).Celotna komunikacija poteka po telefonu, elektronski pošti, faxu, izpolnjevanje aplikacij ali osebno.

4.2.4.4 Nagradne igre in zbiranje osebnih podatkov na spletu

Nagradne igre so popularen način zbiranja osebnih podatkov z namenom posamezniku ponuditi možnost prejema določene nagrade ali ugodnosti pri morebitni sklenitvi zavarovanja v prihodnje.

59

Pri zbiranju osebnih podatkov v okviru nagradnih iger morajo biti udeleženci jasno obveščeni o tem, v kakšne namene se osebni podatki zbirajo. Zato so priporočila Informacijskega pooblaščenca glede zbiranja tovrstnih osebnih podatkov jasna (Informacijski pooblaščenec, 2009, str. 9). Posamezniki lahko izpolnijo obrazce za nagradne igre preko spleta ali na raznih predstavitvah ali sejmih, kjer ročno izpolnijo nagradne lističe. Gre za privolitev posameznika, kar je prevladujoča pravna podlaga za obdelavo osebnih podatkov v zasebnem sektorju. Ta privolitev mora biti pridobljena na pošten in zakonit način. Posameznik mora biti zato dobro in jasno informiran, da lahko poda svojo privolitev kot svobodno izjavo volje, torej mora vedeti katere podatke daje, komu jih daje in za kakšen namen se bodo določeni osebni podatki obdelovali. Zato mora biti posameznik pisno ali ustno obveščen in Informacijski pooblaščenec priporoča pravilno oblikovano obvestilo o varstvu osebnih podatkov. Obvestilo je nekakšna garancija posamezniku, da se njegovi podatki zbirajo in obdelujejo pošteno in zakonito. S pravilnimi obvestili si bodo podjetja pridobila posameznikovo zaupanje.

Svetovni splet je z razvojem informacijske tehnologije postal medij, preko katerega se zbira vedno več podatkov. Pomembno je določiti pravila zbiranja na pošten in zakonit način. Zato se morajo upravljavci spletnih strani držati osnovnih načel (Informacijski pooblaščenec, 2009, str. 12), kot so jasna razlaga posamezniku, zakaj potrebujemo katere podatke (npr. da jih bomo obveščali 1x mesečno o novostih naše ponudbe, da jim bomo sporočali spremembe v naših pogojih poslovanja, da jih bomo kontaktirali v primeru XY, idr.). Priporočljivo je tudi, da podjetje uporabi t.i. dvojni opt-in, to je da posamezniku pošljemo e-pošto na vpisan elektronski naslov in počakamo na odgovor (ali na klik na povezavo v elektronski pošti), da elektronski naslov potrdi. Tako se lahko izognemo težavam, ki nastajajo zaradi zlorab in lažnih prijav, da bi podatke vnesla napačna oseba.

4.3 Nadgradnja informacijskega sistema

Informacijska zasebnost je v času hitrega tehnološkega razvoja precej na prepihu. Tehnološki napredek je hiter in zakonodaja mu težko sledi, prav tako pa tudi zavest posameznika, ki velikokrat uporabljajo nove aplikacije brez natančne preverbe. Izkoreniniti moramo sisteme, delujoče po principu »vsi imajo vedno dostop do vseh podatkov brez nadzora« in aplikacije, ki hranijo podatke za vsak slučaj in na zalogo. Torej, preden uvajajo organizacije nove aplikacije, moramo pravočasno razmisliti o zakonskih zahtevah in upoštevati koncept vgrajene zasebnosti (ang. Privacy by Design). Le-to lahko stroške, prepreči zakonske kršitve in tudi dvigne zaupanje strank v naše poslovanje (Informacijski pooblaščenec, 2010, str. 4). S konceptom vgrajene zasebnosti so povezane tudi presoje vplivov na zasebnost (angl. Privat Impact Assesment) in uporaba tehnologij, ki ohranjajo zasebnost. Presoje vplivov na zasebnost so dejansko orodja za določitev, analizo in zmanjšanje tveganj za nezakonito obdelavo osebnih podatkov. Koncept vgrajene zasebnosti temelji na sedmih načelih in bi moral biti prepoznan kot konkurenčna prednost organizacije (Informacijski pooblaščenec, 2010, str. 5-7):

1. Proaktivnost namesto reaktivnosti, kar pomeni izogibanje težavam namesto odpravljanja posledic. Z dobrim dizajnom informacijskega sistema lahko

60

predvidimo vse potrebne zahteve, kar lahko povzroči ogromno časa in stroškov, če moramo naknadno popravljati in dograjevati že vpeljano rešitev.

2. Zasebnost kot privzeta izbira (angl. default), npr. potrditvena polja naj bodo prazna in jih mora posameznik izpolniti, ne pa izpolnjena samo potrditi.

3. Zasebnost, ki naj bo sestavni del zasnove rešitve in naj bo vgrajena v arhitekturo programskih rešitev že od zasnove in ne dodana naknadno. Vendar pa moramo predvideti tudi kasnejše možne nastavitve zasebnosti.

4. Polna funkcionalnost, kar pomeni, da vgrajena zasebnost ne sme imeti za posledico slabšo učinkovitost informacijskega sistema. Včasih se namreč govori, da moramo žrtvovati zasebnost zaradi višje varnosti ali učinkovitosti. To ne drži, sicer lahko povzroča višje stroške in več znanja in časa, vendar se praviloma da ohraniti zasebnost in dosegati zasledovane cilje.

5. Zavarovanje podatkov v celotnem ciklu obdelave podatkov, gre za preprečevanje nepooblaščene obdelave osebnih podatkov ali izgube ter namerne spremembe. Skrb za zavarovanje osebnih podatkov moramo jemati kot proces in ne enkratno dejanje. Proces mora delovati na principu: načrtovanje, izvajanje, preverjanje in reagiranje, torej informacijski pooblaščenec predlaga vsem upravljavcem, da upoštevajo smernice mednarodnih standardov, kot so ISO/IEC 27000.

6. Transparentnost, pomeni da tudi rešitve z vgrajeno zasebnostjo omogočajo neodvisne zunanje preglede in potrditev resničnega varovanja osebnih podatkov. Zaprte rešitve posameznih organizacij ne pomenijo tudi 100% varnost, jih je pa težko preveriti. Zgodovina kaže, da res varne tiste rešitve, ki so bile podvržene javni presoji in v njih niso mogli vdreti niti najboljši raziskovalci.

7. Spoštovanje posameznika, za posameznika je pomembna enostavna in varna uporaba informacijskih sistemov, in ne komplicirane in tehnološko sofisticirane rešitve. Prav tako za posameznika niso primerne težko berljive nastavitve zasebnosti, ipd.

Smernice za razvoj informacijskih rešitev so naslednje (Informacijski pooblaščenec, 2010, str. 8-9):

Minimizacija – minimalni nabor osebnih podatkov, ki je zadosten za namen obdelave, če osebni podatki niso nujno potrebni za izvedbo poslovanja, potem se naj ne zbirajo na zalogo ali za vsak primer.

Sorazmernost - načela sorazmernosti so npr. uporaba »navadnih osebnih podatkov« namesto občutljivih podatkov. To načelo naj bo upoštevano tudi pri uporabi iskalnikov in nastavitvah uporabniških pravic-če določen uporabnik res potrebuje vse mogoče dostope do osebnih podatkov, kajti več dostopov pomeni večje zahteve za sledljivost.

Nadzor posameznika nad njegovimi osebnimi podatki mora biti takšen, da mu lahko na njegovo zahtevo ponudimo možnost elektronskega vpogleda v njegove osebne podatke, kdo jih je obdeloval, za kakšen namen in komu smo jih posredovali. Na njegovo zahtevo moramo omogočiti tudi izbris osebnih podatkov (če ni v nasprotju z zakonom).

61

4.3.1 Programska oprema

V nadaljevanju bom predstavila dve programski opremi, ki jih ponudniki IT storitev ponujajo na slovenskem trgu in sicer s priporočilom, da aplikativna programska oprema zagotavlja popolni nadzor nad revizijskimi sledmi naših informacijskih sistemih. Zavarovalništvo ima v Sloveniji dolgo tradicijo in računalniške rešitve se tekom let gradijo in dopolnjujejo, kar pa je težje obvladljivo z vidika potreb novih dodatnih komponent.

Zakaj potrebujemo varnost podatkovnih baz? Z razvojem informacijskih tehnologij so postali strežniki podatkovnih baz glavni vir za izvajanje kršitev podatkov. Čeprav se posveča velik poudarek na varnosti podatkom v off-line načinu dela, mobilnih napravah in drugih sistemov za končne uporabnike, to vendar ni glavni izvor podatkov. Slika 27 prikazuje v odstotkih nahajališča podatkov, kjer so možne kršitve. Pri tem moramo poudariti, da je raziskava nastala leta 2010 na podlagi podatkov iz Data Breach Investigation Report. Po teh podatkih je bila v letu 2009 uporaba podatkovnih strežnikov v 75%, leta 2010 pa je narasla na 92% (Pavkovič, 2010, str. 3).

Slika 27: Možne kršitve podatkovnih nosilcev v %

Vir: (Pavkovič, 2010, str. 3)

Kateri osebni podatki so najbolj podvrženi kršitvam in so dejansko vzrok vdorom v sistem, prikazuje slika 28, po raziskavi iz leta 2009. S črno barvo so označeni odstotki kršitev in z rdečo odstotki zapisov. Po tej raziskavi so v največjem odstotku ogroženi podatki o plačilnih karticah (81%) in takoj zatem so navedeni osebni podatki (36%)

62

Slika 28: Ogroženi tipi podatkov

Vir: (Data breach investigation report , 2009, str. 33)

Zahteve skladnosti v podjetjih lahko povzamemo v petih točkah in na sliki 29 ugotovimo, kateri standardi informacijske varnosti (ki smo jih že predstavili v prejšnjih poglavjih) jih obvladujejo (Pavkovič, 2010, str. 7). Po tej raziskavi ugotovimo, da največ zahtev pokriva prav mednarodni standard ISO/IEC 27001 in sicer vsa omenjena področja, ki so najbolj podvržena kršitvam.

Torej standard ISO/IEC 27001 pokriva oz. obvladuje (slika 29): dostop do občutljivih podatkov, spreminjanje shem oz. tabel s podatki (kreiranje, brisanje, sprememba tabele), spreminjanje podatkov v tabelah oz. evidencah (vpis, spreminjanje, izbris), varnostne izjeme (kot so neuspešno logiranje, SQL napake, ipd.), ter uporabniške račune, vloge in dostope (odobri, prekliče).

Slika 29: Obvladovanje zahtev nadzora


63

4.3.1.1 Guardium

Programsko opremo »Guardium« (IBM Corporation) bomo v nadaljevanju opisali in povzeli predstavitev Petra Pavkoviča (Pavkovič, 2010, str. 2). V predstavitvi nam posreduje odgovore na dva poglavitna vprašanja in sicer:

Kaj je Guardium?

Opis arhitekture Guardiuma.

Spremljanje aktivnosti podatkovnih baz z namenom:

Preprečevanje kršitev varnosti podatkov (ublažitev zunanje in notranje grožnje),

Zagotavljanje integritete podatkov (preprečujejo nepooblaščeno spreminjanje občutljivih podatkov),

Zmanjšujejo stroške, potrebne za skladnost (Compliance), z avtomatizacijo in centralizacijo nadzora (čez DBMS platforme in aplikacije), poenostavljajo procese.

Nadzor baze podatkov je velik izziv. Večinoma so baze podatkov nadzorovane s sistemi logov v sistemu za upravljanje s podatki, vendar so le-ti (Pavkovič, 2010, str. 9-10):

1. Premalo vidni in preveč razdrobljeni, težko jih je spremljati, stopnja revizijske sledi večinoma ni zadostna.

2. Neučinkoviti in dragi (zaradi performanc, ogromni dnevniki, težka uporaba, različne metode oz. model za vsako podatkovno bazo).

3. Ni ločitve nalog sistemskih administratorjev (DBA), ki upravljajo in nadzirajo sistem, ker so privilegirani uporabniki, lahko sistem zaobidejo, revizijska sled je nezavarovana).

Ravno te pomanjkljivosti so vzrok za uporabo in vpeljavo sistema Guardium, katerega osnovne funkcionalnosti so:

Slediti aktivnostim v realnem času (revizijske sledi),

Preprečitev notranjih/internih napadov in izgubo podatkov,

Preprečevanje /sledenje dostopov sistemskih administratorjev podatkovnih baz,

Identifikacija prevar na nivoju programov,

Preverjanje novih dostopov na podatkovnih bazah,

»Data privacy accelerator » (pospeševalnik zasebnosti podatkov) - vnaprej definirane politike, poročila, avtomatsko obveščanje v realnem času.

Slika 30 prikazuje povezavo med podatkovnimi in aplikacijskimi strežniki in kje se vključi t.i. zbiralec revizijskih sledi (»Collector«). Na desni strani slike 30 so prikazani glavni sistemi, ki so v svetovnem merilu v največji uporabi in ji Guardium podpira (npr. Oracle, IBM, Netezza, MS SQL Server,idr.) (Pavkovič, 2010, str. 11-12). Guardium nadzira: SQL napake in zgrešeno logiranje, DDL ukaze (kreiranje/izbris/spremembo tabel), povpraševanja »select queries«, DML ukaze (vnos/spremembo/izbris), DCL ukaze

64

(odobritev/preklic tabel), zapisane procedure (postopke), XML pripravljene iz baze podatkov.

Slika 30: Nadzor na podatkovnimi bazami z InfoSphere Guardium


Primer na sliki 31 prikazuje, kako lahko sledimo delu dvema uporabnikoma in primer prikazuje izpis v Guardiumu, katere podatke je uporabnik vnesel (Pavkovič, 2010, str. 14). Enako lahko sledi tudi privilegiranim uporabnikom kot so sistemski administratorji, pri čemer njim glede na pravila dostope ali določene akcije sistem zablokira in jih sistemski administrator niti ne more izpeljati.

Slika 31: Prikaz sledljivosti delu uporabnikov z Guardiumom


65

4.3.1.2 SmartIS

Rešitve SmartIS so namenjene zaščiti poslovnih informacij. Podjetje SmartIS razvija te rešitve z namenom zagotavljanja celovitih revizijskih sledi in zaščito informacij. V ta namen in skladno z zakonom o varstvu osebnih podatkov so razvili rešitev SmartZVOP, ki je »black box« rešitev na ključ (Sirena, 2014, str. 12-14).

Obvladuje 3 glavna področja v informacijskih sistemih, ki so:

Sledljivost obdelave osebnih podatkov (kateri uporabnik je dostopal do določenih osebnih podatkov, čas dostopa, vrsto podatkov-kaj si je ogledoval oz. katere funkcionalnosti je izvajal nad osebnimi podatki, ter do katere baze osebnih podatkov je dostopal.

Revizijske sledi izvršenih obdelav, vodi zgodovino vseh sledi dostopov vseh uporabnikov vključno s sistemskimi administratorji.

Izdelava poročil na »gumb« - takoj, ki so skladna z zahtevami informacijskega pooblaščenca, so v elektronske formatu, prijaznem uporabniku, in razumljivem vodstvu, revizorjem in drugim osebam v podjetju.

SmartZVOP pa je del celovite rešitve, h kateri spadajo še drugi moduli, ki prav tako zagotavljajo in obvladujejo zahteve po informacijski varnosti, prikazano na sliki 32.

Slika 32: Rešitve SmartIS

Vir: (Sirena, 2014, str. 16)

66

4.4 Obveznosti upravljavcev osebnih podatkov

Zavarovalnice kot upravljavci osebnih podatkov morajo slediti določilom ZVOP-1 in morajo (Informacijski pooblaščenec):

Vse osebne podatke lahko obdelujejo le, če je za to pravna podlaga ali osebna privolitev osebe, na katero se nanaša osebni podatek.

Za vse osebne podatke mora zavarovalnica zagotavljati točnost in tudi ažurnost osebnih podatkov.

Posamezniku mora na njegovo zahtevo posredovati vse informacije o tem, kako obdeluje njegove osebne podatke in katere vodi v svojih evidencah.

Po končani izpolnitvi namena obdelave osebnih podatkov mora zavarovalnica podatke izbrisati, uničiti, ter blokirati ali anonimizirati osebne podatke.

Morajo zagotoviti sledljivost obdelave osebnih podatkov, torej mora voditi revizijske sledi obdelav, kdaj, komu in za kakšen namen so bili podatki posredovani ali obdelani.

Morajo sprejeti svoje notranje pravilnike ali akte o postopkih za zavarovanje osebnih podatkov.

Morajo imeti ažurni seznam oseb, ki nosijo odgovornost za posamezne zbirke osebnih podatkov in ažurni seznam oseb, ki lahko obdelujejo določene osebne podatke.

Morajo osebne podatke v fizični in elektronski obliki ustrezno zavarovati.

Morajo imeti popisane in prijavljene kataloge osebnih podatkov pri Informacijskem pooblaščencu.

Sprejeti sklep o morebitni uvedbi videonadzora in ustrezno obvestiti zaposlene.

Izvrševanje teh točk bomo preverili v naslednjem poglavju, kjer bomo analizirali poslovanje v skladu z načeli varovanja osebnih podatkov v zavarovalnicah.

67

5 ANALIZA POSLOVANJA V SKLADU Z NAČELI VAROVANJA OSEBNIH PODATKOV V ZAVAROVALNICAH

5.1 Analiza zagotavljanja skladnega obdelovanja osebnih podatkov v zavarovalnicah

Analizirali smo različne zavarovalnice, ki delujejo na območju Slovenije. Na spletni strani Informacijskega pooblaščenca smo primerjali prijavljene kataloge zbirk osebnih podatkov ter njihove posamezne vsebine. Osredotočili smo se na primerjavo zbirk osebnih podatkov za sklenitev življenjskega zavarovanja.

Da lahko zavarovalnice zagotavljajo skladno delovanje in obdelovanje osebnih podatkov, morajo v katalogih navesti vrste sistemskih določil in omejitev v posameznih točkah kataloga. Mi bomo primerjali samo določene podatke, ki se nanašajo na naslednja področja:

Navajanje vseh vrst osebnih podatkov, ki jih za to zbirko vodijo v svojih bazah podatkov.

Namen obdelave mora biti nedvoumno opredeljen.

Kdo so uporabniki v zavarovalnici in izven nje, ki obdelujejo posamezne podatke.

Splošen opis zavarovanja osebnih podatkov, v fizični in elektronski obliki.

Za zagotavljanje skladnega obdelovanja osebnih podatkov morajo imeti podjetja vpeljan sistem informacijske varnosti in v ta namen sem izvedla anonimne ankete v določenih zavarovalnicah tako, da sem osebam, zaposlenim v področju informacijske tehnologije poslala po elektronski pošti vprašalnik z 8 točkami, nato pa sem jih poklicala in z njimi izvedla še poglobljene intervjuje ter pridobila še neuradne informacije s področja njihovega dela. Zaradi zagotavljanja varnosti poslovnih skrivnosti posameznih zavarovalnic, imen le-teh ne morem razkriti. Vprašalnik je v prilogi 3.

5.1.1 Analiza zavedanja pomembnosti varovanja osebnih podatkov in poznavanje ZVOP-1 v zavarovalnicah

V začetku intervjuja sem postavila splošno vprašanje, kaj menijo zaposleni v posameznih zavarovalnicah o zavedanju pomembnosti varovanja osebnih podatkov in poznavanju zakonskih določil ZVOP-1 v njihovem podjetju.

Odgovori so bili večinoma enotni, vsi so soglašali, da se zaposleni zavedajo pomembnosti varovanja osebnih podatkov in da so seznanjeni z določili ZVOP-1.

Nekateri pa so svoje odgovore še dodatno pojasnili:

Naši zaposleni so seznanjeni z določili ZVOP-1, čeprav bi bilo potrebno v nekaterih segmentih poslovanja oz. oddelkih še dodatno organizirati več izobraževanj (ki že sedaj potekajo 2x letno za zaposlene na različne tematike).

68

Da, v splošnem se zaposleni zavedajo pomembnosti in poznajo zakonska določila, vendar bi bilo zaradi nenehnih sprememb v procesih dela ta izobraževanja potrebno izvesti še posebej za točno določene vrste dela (npr. posebej za zaposlene za reševanje škod, v klicnem centru, ipd).

Da, zaposleni so seznanjeni, vendar se pri izvajanju določenih procesov dela po mojem mnenju premalo zavedajo nevarnosti razkritja osebnih podatkov.

5.2 Analiza posameznih vrst osebnih podatkov ter varovanje in obvladovanje dostopov

Vsaka zavarovalnica ima prijavljene kataloge zbirk osebnih podatkov in so objavljeni na spletni strani Informacijskega pooblaščenca. Vsak zavarovalnica ima prijavljenih več kot 70 evidenc, pri čemer jih lahko ločimo na splošne evidence in zavarovalniške. Splošne evidence osebnih podatkov so npr: kadrovske evidence o zaposlenih delavcih, upokojencih, študentih, evidence o članih nadzornega sveta, evidence o prejetih klicih strank, ipd. Te evidence so skupne vsem podjetjem, ne samo zavarovalnicam. Zavarovalniške evidence osebnih podatkov pa so zbirke osebnih podatkov, ki se nanašajo na posel zavarovalništva oz. jih zavarovalnice vodijo z razlogom opravljanja svoje dejavnosti. To so na primer:

evidence podatkov o zavarovalcih življenjskih zavarovanj (vsebujejo osebne podatke oseb, ki so sklenile življenjsko zavarovanje in v ta namen posredovale tiste osebne podatke, ki so potrebni za sklenitev pogodbe oz. življenjske police).

evidence podatkov o zavarovalcih premoženjskih zavarovanj (vsebujejo osebne podatke oseb, ki so sklenile premoženjsko zavarovanje, npr. obvezno zavarovanje avtomobila in v ta namen posredovale tiste osebne podatke, ki so potrebni za sklenitev avtomobilske police).

evidence podatkov o osebah, udeleženih v škodnih dogodkih (v teh evidencah so navedeni osebni podatki, ki so v zavarovalnici potrebni za reševanje škodnih dogodkov), idr.

V tem poglavju bomo prikazali analizo evidence podatkov o zavarovalcih življenjskega zavarovanja ter življenjskega zavarovanja, vezanega na enote investicijskih skladov oz. na enote kritnega sklada za 4 zavarovalnice, ki delujejo na slovenskem trgu in s katerimi sem tudi opravila intervjuje.

1. Pri kategorijah posameznikov (v točki 2), na katere se nanašajo osebni podatki v zbirki, imajo vse zavarovalnice identificirane enake osebe: zavarovalci, zavarovane osebe in drugi upravičenci iz zavarovalne pogodbe in upniki če so fizične osebe.

Ta primerjava je glede na našo raziskavo logična, kajti police življenjskega zavarovanja na vseh zavarovalnicah so v tem segmentu enake in tudi v skladu z zakonom o zavarovalništvu za izvajanje posla sklenitve življenjskega zavarovanja.

2. V točki 3 je opisan namen obdelave osebnih podatkov, ki mora biti v skladu z zakonom ali osebno privolitvijo posameznika. Vse zavarovalnice imajo naveden

69

namen obdelave: sklepanje zavarovanj, reševanje zavarovalnih primerov, statistične obdelave, segmentacija strank, pošiljanje ponudb in reklamnih sporočil, vodenje postopkov v zvezi s tožbami za uveljavljanje zahtevkov iz zavarovalnih pogodb, dodatno imajo še ena zavarovalnica navedeno, da je namen podatkov tudi izračun in kontrola pravilnosti izračuna provizij.

Namen obdelave je določen z zakonom oz. z osebno privolitvijo posameznika, kar nam je raziskava potrdila. Vsi nameni so v skladu z zakonom za izvajanje posla sklepanja polic, namen glede pošiljanja ponudb in reklamnih sporočil pa je zapisan v pogojih poleg police življenjskega zavarovanja oz. izjava na polici, da se zavarovanec strinja z uporabo njegovih osebnih podatkov za namen pošiljanja ponudb in reklamnih sporočil.

3. V točki 6 so navedene vrste osebnih podatkov v zbirki, kot so: ime in priimek,

spol, datum rojstva, naslov, EMŠO, davčna številka, podatki osebnega dokumenta (datum izdaje, številka), številka police, zavarovalno obdobje, izbrane kombinacije, številka TRR, podatki o zdravstvenem stanju, podatki o osebnem zdravniku, idr. (poprečno imajo navedeno več kot 50 podatkov).

Primerjava med zavarovalnicami nam kaže, da vse zavarovalnice zbirajo iste vrste osebnih podatkov, gre lahko za manjše odstopanje med posameznimi zavarovalnicami oz. da posamezne zavarovalnice drugače poimenujejo vrsto osebnega podatka kot druge. Za sklenitev življenjske police so dejansko potrebni več ali manj isti osebni podatki, ne glede na kateri zavarovalnici sklepamo polico in so prepis posameznih vnosnih polj, ki jih mora zastopnik izpolniti v aplikaciji za sklepanje ob sklenitvi življenjskega zavarovanja.

Zavedanje zavarovalnic, da zbirajo samo tiste nujno potrebne podatke, ki so resnično potrebni za sklenitev in nato izvajanje posla do konca veljavnosti pogodbe, je na zelo visokem nivoju in podatke, ki niso nujno potrebni za izvedbo posla, ne zbirajo.

4. V točki 7 navajamo uporabnike zbirke teh osebnih podatkov, ki so druge zavarovalnice, AZN, Slovensko zavarovalno združenje, pozavarovalnica, zunanja revizijska hiša, zdravniki cenzorji, sodišča, banke, stečajni upravitelji, izvajalec digitalizacije dokumentov in drugi ter na koncu še na splošno navedeni uporabniki, ki imajo za pridobivanje osebnih podatkov podlago v zakonu, osebni privolitvi posameznika ali pogodbeni partnerji.

Analiza uporabnikov zbirk osebnih podatkov nam kaže, da so zavarovalnice v prijavljenem katalogu navedle enake uporabnike teh osebnih podatkov iz določene zbirke in se zavedajo, da mora obstajati ali pravna podlaga ali privolitev posameznika za posredovanje osebnih podatkov drugim osebam. Navedba, da posredujejo osebne podatke na podlagi osebne privolitve posameznika, se nanaša na posle, kjer posameznik želi, da se v obdelavo njegove police ali škode vključi še tretja oseba (npr. odvetnik, zdravnik,idr) z namenom pričakovanja ugodnejše rešitve posla zanj. V primeru posredovanja osebnih podatkov pogodbenim partnerjem zavarovalnice (npr. izvajalec digitalizacije dokumentov, izvajalec tiskanja obvestil, idr) pa mora

70

zavarovalnica zagotoviti določbe ZVOP-1 in s pogodbenim partnerjem skleniti pogodbo o obdelovanju osebnih podatkov, kjer morajo biti zapisano točno določeno osebni podatki iz določene zbirke osebnih podatkov, ki je prijavljena pri Informacijskemu pooblaščencu. V pogodbi mora biti naveden točen namen obdelave in vse osebe pogodbenega izvajalca (po delovnih mestih), ki obdelujejo te osebne podatke pri pogodbenem izvajalcu. V pogodbi morajo biti opisani tudi mehanizmi varovanja osebnih podatkov v fizični in elektronski obliki pri pogodbenem izvajalcu. Takšna pogodba je pogoj, da lahko zavarovalnica posreduje osebne podatke zavarovancev pogodbenim izvajalcem brez soglasja stranke.

5. V točki 8 navajajo zavarovalnice splošen opis varovanja zbirke osebnih podatkov. Od vseh točk v evidenci podatkov je ta točka najbolj obširna, kajti vse zavarovalnice opisujejo natančne postopke varovanja elektronskih in fizičnih zbirk osebnih podatkov za to evidenco, ter opisujejo fizično varovanje prostorov, kjer se nahajajo elektronske in fizične zbirke osebnih podatkov.

Vsaka zavarovalnica ima naveden svoj opis varovanja zbirk. Najprej opisujejo, kje se nahajajo fizične zbirke osebnih podatkov, v katerih prostorih je ta dokumentacija (npr. 4. nadstropje, OE pravne službe, v ognjevarnih omarah pod ključem), kdo (po delovnih mestih) ima omogočen dostop do njih, kako so varovani dostopi (varnostnik, uporaba kartic za dostope, idr.). Nato opisujejo varovanje elektronskih zbirk osebnih podatkov: kdo po delovnih mestih in v katerih OE preko katerih aplikacij lahko dostopajo do podatkov v elektronski obliki, kakšna je zaščita z gesli. Nazadnje je opisan tudi prostor, kjer se nahajajo strežniki in kjer so baze podatkov vsake zavarovalnice ter kdo ima dostop v te prostore. Vsi opisi zavarovalnic so zapisani po enakem principu in vse zavarovalnice imajo v prijavljenih katalogih natančne opise varnostnih mehanizmov za aplikativno in strojno opremo ter prostore. Samo ena zavarovalnica v tej analizi ni natančno opisala svojih varnostnih mehanizmov, temveč je objavljeno, da so zbirke osebnih podatkov varovane v skladu z notranjim aktom, ki ureja varstvo osebnih podatkov v tej dotični zavarovalnici.

Iz te analize je razvidno, da imajo zavarovalnice dober sistem varovanja in vpeljane vse postopke v zvezi z obdelavo osebnih podatkov fizičnih oseb oz. posameznikov, ki pri njih sklepajo kakršen koli posel oz. z njimi sodelujejo.

Primer prijavljene (in objavljene na spletni strani Informacijskega pooblaščenca) evidence podatkov o zavarovalcih življenjskega zavarovanja ter življenjskega zavarovanja, vezanega na enote investicijskih skladov oz. na enote kritnega sklada je v prilogi 2. Za primer smo navedli evidenco Zavarovalnice Grawe, kjer je zelo dobro razvidno, za kakšno količino podatkov gre.

5.3 Analiza obvladovanja sistema informacijske varnosti

Za izvedbo analize stanja v zavarovalnicah sem pripravila vprašalnik za zaposlene v področju informacijske tehnologije z navedenimi vprašanji in sem prejela naslednje odgovore na vprašanja:

71

1. Ali se po vašem mnenju vodstvo podjetja zaveda pomembnosti vpeljave in razvoja informacijske varnosti, ki je ključni element zagotavljanja varovanja osebnih podatkov in ali menite, da imate v podjetju zadostno podporo vodstva?

Vsi odgovori so bili pritrdilni, kar pomeni, da najvišje vodstvo zavarovalnic pozna problematiko varovanja informacij in se zaveda njene pomembnosti nasploh (ne samo zaradi varovanja osebnih podatkov, temveč tudi varovanja drugih poslovnih skrivnosti). Kajti le popolna podpora vodstva je ključnega pomena za vpeljavo in obvladovanje uspešnega in učinkovitega sistema varovanja informacij.

Dodatno sem prejela tudi opombe pri tem vprašanju in sicer, da se uprava podjetja vedno bolj zaveda pomembnosti razvoja informacijske varnosti z namenom, da se zagotovi varovanje osebnih podatkov v zavarovalništvu, kakor tudi obvladovanje ostalih informacijskih tveganj. Druga opomba je bila tudi, da se uprava zaveda, vendar nima resursov za bolj sofisticiran sistem.

2. Ali je po vašem mnenju informacijska varnost dobro organizirana in vzpostavljena?

Vsi prejeti odgovori so bili pritrdilni, kar pomeni, da zaposleni v informacijski tehnologiji ocenjujejo dobro vzpostavljenost in organiziranost informacijske varnosti. Dodatno sem prejela še razlage:

V zavarovalnici imamo zadolžene osebe, ki skrbijo za informacijsko varnost kot tudi za skladnost poslovanja podjetja.

Navodila in predpisi informacijske varnosti se razvijajo tudi z zahtevami Solvency2. Zahteve S2 so v našem podjetju še pospešile razvoj informacijske varnosti.

3. Po katerem standardu oz. metodologiji je po vašem mnenju vzpostavljen vaš sistem informacijske varnosti oz. je najbližje: Cobit/ISO/IEC27001/ NIST/ITIL?

Večina odgovorov je bila, da imajo vzpostavljen sistem informacijske varnosti po ISO/IEC 27001. Ena zavarovalnica ima vzpostavljeno informacijsko varnost po Cobit metodologiji. Večina jih ima najete tudi zunanje svetovalce za razvoj informacijske varnosti, kar kaže na visoko zavedanje o pomembnosti te problematike v zavarovalnicah. Večina jih je še dodala, da nimajo pridobljenega ISO certifikata za ISO/IEC 27001. Prejela sem tudi odgovor, da ena zavarovalnica sledi standardu ISO/IEC 27001 ravno z namenom, da bi se lahko v bližnji prihodnosti certificirala.

4. Ali poznate ITIL metodologijo v vašem podjetju in ali menite, da je tako vzpostavljena informacijska varnost po principih ITIL metodologije primerna ali ne?

Vsi odgovori so bili pritrdilni, ITIL metodologija jim je dobro poznana, kar je tudi logično, saj so v intervjuju sodelovali zaposleni v informacijski tehnologiji, ki že po naravi dela morajo slediti razvoju na področju informacijske tehnologije in ITIL knjižnice so se v zadnjih letih izredno razširile in pridobile na pomembnosti tudi zaradi svoje

72

visoko uporabne vrednosti. Ena oseba mi je tudi odgovorila, da ves njihov sistem upravljanja IT temelji na principih Cobita in ITIL-a.

5. Ali imate v vašem podjetju posebej določeno osebo ali skupino oseb, ki skrbijo za razvoj in izvajanje informacijske varnosti (da/ne/določene osebe imajo poleg te naloge še druge zadolžitve/ne vem)?

Vsi odgovori razen enega so bili pritrdilni, torej imajo vse zavarovalnice razen ene posebej določene osebe, ki skrbijo za razvoj in vzdrževanje informacijske varnosti, vendar imajo poleg teh del še druge redne zadolžitve. Posebej določene osebe, ki skrbijo samo za informacijsko varnost imajo zavarovalnice, ki delujejo v okviru koncerna (sedež v tujini), vendar so le te del tima v tujini, v Sloveniji nimajo zaposlenih samo za to področje informacijske varnosti. Intervjuvanec zavarovalnice, ki nima posebej določene osebe za razvoj in izvajanje informacijske varnosti meni, da bi bilo to nujno potrebno. Sedaj se z informacijsko varnostjo ukvarja več zaposlenih v IT.

6. Ali menite, da so podatki strank dobro zavarovani v informacijskem sistemu podjetja in imajo dostop do osebnih podatkov v elektronski obliki samo določeni zaposleni (vzpostavljen princip: »need to know«)?

V splošnem so odgovori zelo podobni in sicer, da so podatki ustrezno varovani in temu primerno so vzpostavljeni tudi omejeni dostopi do njih. Ponekod so mi zaupali še, da vendar v vseh segmentih ni možno vzpostaviti popolnega principa »need to know«, torej dostop zaposlenemu samo do tistega podatka, ki ga dejansko potrebuje za opravljanje določenega posla (in da se mu ne prikaže noben drug osebni podatek, ki ga v tistem trenutku ne potrebuje). V nekaterih zavarovalnicah so ta tveganja identificirali in jih tudi redno in skrbno pregledujejo (monitoring), da ne bi prišlo do zlorabe osebnih podatkov.

7. Ali so po vašem mnenju izobraževanja zaposlenih o informacijski varnosti dobro organizirana in kako?

Vsi so odgovorili, da imajo vzpostavljen dober sistem formalnega notranjega izobraževanja, seveda pa obstaja možnost, da bi lahko le-tega še izboljšali.

Dodatno sem prejela razlago, kako potekajo izobraževanja v zavarovalnicah. Navajam primere:

Izobraževanja o informacijski varnosti so del splošnih formalnih izobraževanj, ki potekajo v zavarovalnici 2x letno, po potrebi tudi večkrat.

Zaposlenim pošiljamo redna sporočila o novostih in novih ali spremenjenih delovnih postopkih v skladu z informacijsko varnostjo ter objavljamo dokumente na portalu podjetja.

73

6 SKLEP

V magistrski nalogi smo želeli prikazati pomen upravljanja z osebnimi podatki in poudariti nujnost in pomembnost informacijske varnosti za varovanje osebnih podatkov. To narekuje hiter razvoj informacijske tehnologije in vzporedno s tem sistemom se razvija tudi sistem zlorab osebnih podatkov in vdorov v informacijske sisteme. V prvem empiričnem delu smo podrobneje predstavili varstvo osebnih podatkov po ZVOP-1, s kakšnimi osebnimi podatki se v podjetjih srečujemo in kako jih obdelujemo ter kako moramo celoten sistem obvladovanja osebnih podatkov vzpostaviti v skladu z zakonskimi zahtevami. Pri vsem tem je ključnega pomena dobro postavljen in nenehno revidiran informacijski sistem, ki ne sme dopuščati nobenih varnostnih pomanjkljivosti. Zato smo pregledali standarde informacijske varnosti in delovanje po različnih metodologijah in standardih. Najpomembnejše metodologije, ki veljajo danes za najbolj zanesljive pri upravljanju varovanja informacij so ISO/IEC27001, NIST, Cobit in ITIL in vsako smo posebej predstavili.

V nadaljevanju smo v empiričnem delu predstavili zavarovalniško dejavnost in zakaj je ravno v zavarovalništvu tak izziv skrb za pravilno delovanje v skladu z ZVOP-1 in zagotavljanje pravilnega delovanja tudi z varnostnih vidikov. V modelu vzpostavitve varovanja osebnih podatkov v zavarovalnicah smo se osredotočili na načrtovanje procesa in opis vseh faz, ki so potrebne za izvajanje varovanja osebnih podatkov po zakonskih določilih. Ključnega pomena je vzpostavitev sistema informacijske varnosti, obvladovanje vstopnih točk zajema osebnih podatkov, obdelovanje osebnih podatkov s primerno razvito informacijsko tehnologijo in vzpostavljenim sistemom varovanja informacij. Analizirali smo varovanje osebnih podatkov po posameznih zavarovalnicah, ki delujejo na območju Slovenije ne glede na to, ali je sedež zavarovalnice v Sloveniji ali je zavarovalnica del tujega koncerna. Kajti zakonske zahteve na območju Republike Slovenije veljajo za vse zavarovalnice, tudi tiste, ki imajo sedež in lastnika v tujini. Z analizo prijavljenih katalogov in primerjavo posameznih točk v prijavljenih evidencah podatkov med različnimi zavarovalnicami smo prišli do spoznanja, da je urejenost varovanja osebnih podatkov v primerjanih zavarovalnicah na visokem nivoju in vse zavarovalnice imajo sprejete notranje akte in potrebne postopke za izvajanje varovanja osebnih podatkov in informacijske varnosti.

Cilji empiričnega dela magistrske naloge so bili izpolnjeni in sicer, da :

Na osnovi dejstev in zahtev za varovanje osebnih podatkov pripravimo model uvajanja varovanja osebnih podatkov, kar smo pripravili v skladu z vsemi zakonskimi zahtevami.

Primerjali smo različne zavarovalnice v Sloveniji in ugotovili njihov koncept obvladovanja varstva osebnih podatkov in informacijske varnosti, kar smo izvedli s primerjavo katalogov osebnih podatkov, prijavljenih pri informacijskem pooblaščencu in izvedenih intervjujih z zaposlenimi v informacijski tehnologiji posameznih zavarovalnic in pridobitvijo informacij o ureditvi informacijske varnosti v njihovi zavarovalnici.

74

Zaposlenim informacijski tehnologiji smo zastavili 8 vprašanj, kajti zanimalo nas je obvladovanje procesa informacijske varnosti v različnih zavarovalnicah. Vidimo, da so odgovori več ali manj podobni, vse zavarovalnice posvečajo izjemno pozornost varovanju osebnih podatkov in informacijski varnosti, vodstvo zavarovalnic se zaveda kako pomembno je obvladovanje teh tveganj. V intervjujih pa so izpostavili zaposleni enake težave oz. pomanjkljivosti, kot je problematika izobraževanj, omejitev dostopov do podatkov po principu »need to know«, idr.

V uvodu smo zapisali 3 hipoteze in jih bomo v nadaljevanju potrdili ali ovrgli.

Prvo hipotezo smo zastavili glede omejevanje pristopa do atributov posameznih entitet v podatkovni bazi, ki temeljijo na sistemu »vlog« (DBMS roles) in zagotavljajo le izhodiščno raven stopenjskega modela varnosti osebnih podatkov.

Hipotezo potrjujemo, kajti z našo raziskavo smo ugotovili, da je tehnična omejitev pristopov do atributov posameznih entitet v podatkovni bazi sicer izjemno pomembna, ampak težko izvedljiva. Nadalje so pomembne tudi ostale omejitve, npr. organizacijske, kot so postopki in pravila, operacijski predpisi, ki natančno določajo lastnike osebnih podatkov in osebe, ki so odgovorne za posamezne vrste osebnih podatkov in s temi vzvodi lahko zagotovimo tudi višjo raven zavedanja varovanja informacij pri zaposlenih, kar je enako pomembno kot so tehnične omejitve.

Drugo hipoteza smo zastavili o višji ravni stopenjskega modela varnosti osebnih podatkov, da je mogoče doseči to le z modularno informacijsko prenovo poslovnih procesov, ki temelji na ITIL storitveni arhitekturi računalniških rešitev in upošteva strukturiranje aktivnosti strežbe in aktivnosti podpore.

Hipotezo potrjujemo, kajti ITIL storitvena arhitektura računalniških rešitev res omogoča doseganje najvišjih ravni stopenjskega modela informacijske varnosti, gre namreč za celovite rešitve (upoštevajoč dobre prakse, standarde, postopke in navodila, zakonske zahteve) s svojim življenjskim ciklom, ki poleg načrtovanja, izvedbe in implementacije zagotavlja nenehno izboljševanje storitev in samo to je lahko ključ do popolnega uspeha in zagotavljanja informacijske varnosti.

Tretjo hipotezo smo zastavili tako, da je za zagotavljanje varnosti osebnih podatkov med standardi, ki urejajo informacijsko varnost, ISO standard 27001 bolj primeren kot ostali standardi.

Hipotezo lahko delno ovržemo, kajti v naši raziskavi smo ugotovili, da je principov in metodologij več in le-te se med seboj tudi dopolnjujejo. V naših intervjujih se je izkazalo, da ni ISO/IEC 27001 edini standard, ki ga imajo zavarovalnice na slovenskem trgu, temveč je najbolj razširjen. V raziskavi smo ugotovili, da se v zavarovalnicah v Sloveniji upoštevajo tudi drugi standardi, npr. Cobit.

75

LITERATURA IN VIRI

Amant, K. S. (2010). IT Outsourcing: Concepts, Methodologies, Tools and Aplications. Hershey: IGI Global.

Axelos Global best Practise. (brez datuma). Prevzeto 20. marec 2016 iz What is ITIL best Practise: https://www.axelos.com/best-practice-solutions/itil/what-is-itil

Bagad, V. S., & Dhotre, I. A. (brez datuma). Information Security. V D. Bagad, Information Security. Technical Publication Pune.

Brezavšček, A., & Moškon, S. (april/maj/junij 2010). Uporabna informatika. Vzpostavitev sistema za upravljanje informacijske varnosti, str. 101-108.

BSI Institut. (2005). BS ISO/IEC 27001:2005. BS ISO/IEC.

Caballero, A. (2008). Information Security Essentials for IT Managers: Protecting Mission-Critical Systems. Prevzeto marec 2016 iz http://booksite.elsevier.com/samplechapters/9781597495332/02~Chapter_1.pdf

Caballero, A. (2009). Information Security Essentials for IT managers.

Calder, A., & Watkins, S. G. (2010). Information Security Risk Management For ISO 27001/ISO 27002. IT Governance Ltd 2007.

Data breach investigation report . (2009). Prevzeto april 2016 iz Data breach investigation report 2009: file:///C:/Users/velickis/Downloads/data-breach-investigations-report-2009.pdf

Direktiva Evropskega parlamenta in Sveta 95/46/ES. (24. oktober 1995). Prevzeto januar 2016 iz http://eur-lex.europa.eu/legal-content/sl/TXT/?uri=CELEX%3A31995L0046

Egan, M. (2005). Executive Guide to Information Security. Addison-Wesley professional.

Ekonomsko-poslovna fakulteta Maribor. (2013). Prevzeto 26. november 2013 iz Portal EPF: http://www.epf.um.si.

Evropska direktiva 95/46/EC. (24. oktober 1995). Prevzeto 10. marec 2016 iz http://eur-lex.europa.eu/LexUriServ/LexUriServ.do?uri=CELEX:31995L0046:en:HTML

Frece Panza, T. (2011). Osnove zavarovalništva. Prevzeto 28. april 2016 iz Osnove zavarovalništva: http://www.mizs.gov.si/fileadmin/mizs.gov.si/pageuploads/podrocje/vs/Gradiva_ESS/Impletum/IMPLETUM_48EKONOMIST_Osn_zavarovalnistva_Frece.pdf

76

Green Pages Technology Solutions. (brez datuma). Prevzeto april 2016 iz ITIL Consulting: http://greenpages.com/traditional-it/it-consulting-services/itil/

Hayden, M. (2003). National information assurance glossary. Prevzeto 13. april 2016 iz https://www.ecs.csus.edu/csc/iac/cnssi_4009.pdf

IEPRI. (brez datuma). Inštitut za ekonomijo, pravo in informatiko. Pridobljeno iz Pravo, ekonomija in informacijska varnost: http://wordpress.ipri-zavod.si/

Informacijski pooblaščenec . (22. september 2015). Smernice o zavarovanju osebnih podatkov. Prevzeto januar 2016 iz Smernice o zavarovanju osebnih podatkov: https://www.ip-rs.si/fileadmin/user_upload/Pdf/smernice/Smernice_o_zavarovanju_OP.pdf

Informacijski pooblaščenec. (23. junij 2009). Prevzeto marec 2016 iz Informirani potrošnik - komu dajem katere osebne podatke in zakaj?: https://www.ip-rs.si/fileadmin/user_upload/Pdf/smernice/Potrosniki_koncna_web.pdf

Informacijski pooblaščenec. (29. junij 2009). Kodeks obnašanja pri zbiranju osebnih podatkov. Prevzeto marec 2016 iz Kodeks obnašanja pri zbiranju osebnih podatkov: https://www.ip-rs.si/fileadmin/user_upload/Pdf/smernice/Smernice__kodeks_obnasanja_pri_zbiranju_OP-slo.pdf

Informacijski pooblaščenec. (6. junij 2010). Informacijski pooblaščenec Republike Slovenije. Prevzeto februar 2016 iz Smernice za razvoj informacijskih rešitev: https://www.ip-rs.si/fileadmin/user_upload/Pdf/smernice/Smernice_za_razvoj_informacijskih_resitev.pdf

Informacijski pooblaščenec. (6. december 2010). Smernice za razvoj informacijskih rešitev. Prevzeto marec 2016 iz Smernice za razvoj informacijskih rešitev: https://www.ip-rs.si/fileadmin/user_upload/Pdf/smernice/Smernice_za_razvoj_informacijskih_resitev.pdf

Informacijski pooblaščenec. (brez datuma). Informacijski pooblaščenec Republike Slovenije. Prevzeto marec 2016 iz https://www.ip-rs.si/

Informacijski pooblaščenec. (brez datuma). pravilnik o metodologiji vodenja registra zbirk osebnih podatkov. Prevzeto marec 2016 iz https://www.ip-rs.si/zakonodaja/zakon-o-varstvu-osebnih-podatkov/pravilnik-o-metodologiji-vodenja-registra-zbirk-osebnih-podatkov/

Informacijski pooblaščenec. (brez datuma). Zgodovina ureditve varstva osebnih podatkov. Prevzeto 18. april 2016 iz Zgodovina ureditve varstva osebnih podatkov: https://www.ip-rs.si/o-pooblascencu/zgodovina/varstvo-osebnih-podatkov/

77

Information System Security Control Guidance Document. (12. February 2014). Prevzeto 3. marec 2016 iz Selectagents: http://www.selectagents.gov/resources/Information_Systems_Security_Control_Guidance_version_3_English.pdf

insuranceblog.accenture.com. (brez datuma). Prevzeto april 2016 iz The Next-Generation Insurance Contact Center: It provides sales support for

Investorguide. (brez datuma). Prevzeto marec 2016 iz Introduction to Insurance Policies, Premiums and Claims: http://www.investorguide.com/article/11605/introduction-to-insurance-policies-premiums-and-claims-igu/

ISACA. (brez datuma). ISACA. Prevzeto april 2016 iz Revizija informacijskih sistemov: http://www.isaca.si/revizija_IS.php

ISACA. (brez datuma). isaca.org. Prevzeto 27. april 2016 iz Cobit - the Comprehensive IT governance framework: http://www.isaca.org/Knowledge-Center/cobit/Documents/CobiT-4.1-Brochure.pdf

ISO. (brez datuma). ISO online Browsing Platform. Prevzeto marec 2016 iz ISO/IEC 27001:2013: https://www.iso.org/obp/ui/#iso:std:iso-iec:27001:ed-2:v1:en

iso27001security. (brez datuma). Prevzeto 20. april 2016 iz ISO/IEC 27001:2013 Information Technology-Security techniques: http://www.iso27001security.com/html/27001.html

IT Governance Institute. (brez datuma). Information Security Governance: Guidance for Boards of Directors and Executive Management 2nd Edition. Prevzeto marec 2016 iz isaca.org: http://www.isaca.org/knowledge-center/research/documents/information-security-govenance-for-board-of-directors-and-executive-management_res_eng_0510.pdf

Itil training. (brez datuma). Prevzeto 5. april 2016 iz The 4 P s of ITIL Service management: http://www.itiltraining-uk.co.uk/the-4-ps-of-itil-service-management/

Justice and Fundamental Rights. (brez datuma). Prevzeto 10. april 2016 iz http://ec.europa.eu/priorities/justice-and-fundamental-rights_sl

Kocbek, A. (december 2010). epf.uni-mb.si/ediplome. Prevzeto 30. april 2016 iz Magistrsko delo Managemenr varnosti informacijskih sistemov v srednje veliki zavarovalnici: http://old.epf.uni-mb.si/ediplome/pdfs/kocbek-andreas-mag.pdf

Kovačič, M. (2006). Nadzor in zasebnost v informacijski družbi. Ljubljana: Fakulteta za družbene vede.

Lampe, R. (2004). Sistem pravice do zasebnosti. Ljubljana: Bonex.

78

Letno poročilo Informacijskega Pooblaščenca za leto 2014. (2015). Prevzeto 15. januar 2016 iz https://www.ip-rs.si/fileadmin/user_upload/Pdf/porocila/Letno_porocilo_IP_2014.pdf

Lloyd's. (brez datuma). Lloyd's. Prevzeto april 2016 iz What is Insurance: https://www.lloyds.com/lloyds/about-us/what-we-do/what-is-insurance

McCallister, E., Grance, T., & Scarfone, K. (april 2010). National Institute of Standard and Technology. Prevzeto januar 2016 iz Guide to Protecting the Confidentiality of Personally Identifiable Information (PII): http://csrc.nist.gov/publications/nistpubs/800-122/sp800-122.pdf

Mišič, K. (2013). Zavarovalno združenje. Prevzeto 5. april 2016 iz varstvo osebnih podatkov in zavarovalništvo: http://www.zav-zdruzenje.si/wp-content/uploads/2013/01/Varstvo-osebnih-podatkov-in-zavarovalnistvo.pdf

New York State Department on Financial services. (februar 2015). Prevzeto 15. april 2016 iz http://www.dfs.ny.gov/reportpub/dfs_cyber_insurance_report_022015.pdf

Pareto, C. (brez datuma). Investopedia. Prevzeto 15. april 2016 iz Intro to Insurance: Fundamentals Of Insurance: http://www.investopedia.com/university/insurance/insurance2.asp

Pareto, C. (brez datuma). Investopedia. Prevzeto april 2016 iz Intro to Insurance: What is Insurance: http://www.investopedia.com/university/insurance/insurance1.asp

Pavkovič, P. (2010). Slideshowes.com. Prevzeto 12. marec 2016 iz Guardium-kako obezbediti sigurnost i kontrolu nad podacima: http://slideshowes.com/doc/382572/ibm-infosphere-guardium---recro-net

Peltier, T. R. (2014). Information security Fundamentals. Boca Raton: Taylo&Francis Group, LLC.

Pirc Musar, N., Bien, S., Prelesnik, M., Bogataj, J., & Žaucer, A. (2006). Zakon o varstvu osebnih podatkov s komentarjem. Ljubljana : GV Založba.

Pivka, M. (1996). Kakovost v programskem inženisrtvu. Izola: Desk d.o.o.

Repovž, A., & Bernik, I. (brez datuma). Zasebnost osebnih podatkov. Prevzeto 2. april 2016 iz http://www.fvv.um.si/konferencaiv/zbornik/Repovz_Bernik.pdf

Risk 27001. (brez datuma). Prevzeto 10. februar 2016 iz ISMS framework: http://www.gaelrisk.com/27001/solution/isms-framework-assurance

Rouse, M. (brez datuma). Searchdatacenter. Prevzeto maj 2016 iz ITIL (Information Technology Infrastructure Library): http://searchdatacenter.techtarget.com/definition/ITIL

79

Sirena, J. (2014). SmartIS rešitve za zaščito poslovnih informacij. Slovenija.

Slovenski institut za standardizacijo. (2013). SIST ISO/IEC 27001. Slovenski institut za standardizacijo.

Slovensko zavarovalno združenje. (brez datuma). Prevzeto 22. april 2016 iz osebna izkaznica: http://www.zav-zdruzenje.si/osebna-izkaznica/

Slovensko zavarovalno združenje. (junij 2015). Zavarovalno združenje. Prevzeto februar 2016 iz Statistični zavarovalniški bilten: http://www.zav-zdruzenje.si/wp-content/uploads/2015/06/Statisticni-zavarovalniski-bilten-2015.pdf

Smith, R. E. (2016). Elementary Information Security (second edition). Burlington, MA: Jones&Bartlett.

Sternad, S., Boršič, D., & Tominc, P. (2013). Navodila za izdelavo pisnih del na Ekonomsko-poslovni fakulteti. Prevzeto 2. December 2013 iz http://www.epf.um.si/studenti/Vsebina/pravilniki_diplom.aspx.

Strahonja , V., Varga, M., & Pavlić, M. (1992). Projektiranje informacijskih sustava. Zagreb: Hrvatska informatička zajednica Zagreb.

SURS. (2013). Indeksi cen življenjskih potrebščin, Slovenija, junij 2013 - končni podatki. Prevzeto 30. julij 2013 iz Statistični urad republike Slovenije: http://www.stat.si/novica_prikazi.aspx?id=5606.

Teršek, A. (27. september 2006). Informacijski pooblaščenec. Prevzeto april 2016 iz Svoboda izražanja: https://www.ip-rs.si/fileadmin/user_upload/Pdf/clanki/Tersek_Svoboda_izrazanja.pdf

Tipton, H. F., & Krause, M. (2006). Information Security Management Handbook. Prevzeto 2. april 2016 iz https://books.google.si/books?id=5sIJ4Ho5yLUC&pg=PT36&lpg=PT36&dq=information+security+system+for+banks+and+insurances&source=bl&ots=iZmDOA3HCO&sig=v17HQ4TFMAgNu5s2GQklmEoMp8o&hl=sl&sa=X&ved=0ahUKEwjzzsbiwZbMAhVMEJoKHYwVBO8Q6AEIVDAH#v=onepage&q=informatio

Triz Sigma. (2008). Prevzeto marec 2016 iz Triz Sigma: http://www.trizsigma.com/iso20000.html

Turk, I. (1987). Pojmovnik poslovne informatike. Ljubljana: Društvo ekonomistov.

Ustava Republike Slovenije. (brez datuma). Zakonodaja. Prevzeto marec 2016 iz https://zakonodaja.com/ustava/urs

Vehar , K., Brezavšek , A., & Kern, T. (marec 2013). Sodobni aspekti informacijske varnosti. Projekt vpeljave sistema za upravljanje informacijske varnosti v organizacijo.

80

Wada, K. (2010). The Right to Be Let lone. Prevzeto 3. marec 2016 iz PolicyMatters : http://er.educause.edu/~/media/files/article-downloads/erm10110.pdf

Warren, S., & Brandeis, L. (15. december 1890). The Right to privacy. Prevzeto 2. april 5016 iz Harward Law Review: http://groups.csail.mit.edu/mac/classes/6.805/articles/privacy/Privacy_brand_warr2.html

Whitman, M. E., & Mattord, H. J. (2011). Principles of Information Security (Fourth Edition). Kennesaw State University: Cengage Learning.

Wikipedia. (brez datuma). Prevzeto 1. maj 2016 iz Microsoft Project: https://en.wikipedia.org/wiki/Microsoft_Project

World Economic Forum. (January 2011). weforum. Prevzeto marec 2016 iz Personal Data: http://www3.weforum.org/docs/WEF_ITTC_PersonalDataNewAsset_Report_2011.pdf

Zakon o informacijskem pooblaščencu. (2005). Prevzeto 2. marec 2016 iz http://pisrs.si/Pis.web/pregledPredpisa?id=ZAKO4498

ZVOP-1. (2016). Prevzeto 11. marec 2016 iz https://www.uradni-list.si/1/content?id=82668

ZZavar-1, Z. o. (24. november 2015). Zakon o zavarovalništvu ZZavar-1. Prevzeto 14. april 2016 iz Uradni list Republike Slovenije: http://www.uradni-list.si/1/content?id=124197#!/Zakon-o-zavarovalnistvu-%28ZZavar-1%29

81

PRILOGE

Priloga 1: Maska za vnos zbirke osebnih podatkov

82

83


84

Priloga 2: Evidenca podatkov v Zavarovalnici Grawe

85

86

87

88

89


90

Priloga 3: Vprašalnik

VPRAŠALNIK : ZVOP IN INFORMACIJSKA VARNOST V ZAVAROVALNICAH

Ali menite, da se v vašem podjetju zavedajo pomembnosti varstva osebnih podatkov in so zaposleni seznanjeni z določili zakona ZVOP?

(Npr. Da/ne/ ne dovolj/ premalo se zavedajo/potrebno bi bilo več izobraževanja…)

1. Ali se po vašem mnenju vodstvo podjetja (uprava) zaveda pomembnosti vpeljave in razvoja informacijske varnosti, ki je ključni element za zagotavljanje varovanja osebnih podatkov v zavarovalništvu?

Ali menite, da imate v podjetju zadostno podporo vodstva-uprave podjetja?

2. Ali je po vašem mnenju informacijska varnost dobro organizirana in vzpostavljena (varnostne politike)?

(Npr. Da/ne/vedno boljše/ se še vzpostavlja s SOLVENCY2 in zahtev skladnosti poslovanja….)

3. Kateremu metodologiji oz. standardu je po vašem menju vaš vzpostavljen sistem informacijske varnosti najbližje:

Cobit/ISO27001/NIST/ITIL ?

(Ali imate certifikat za inf.varnost?)

4. Ali poznate v vašem podjetju ITIL metodologijo in ali menite, da je tako vzpostavljena inf.varnost po principih ITIL metodologije primerna ali ne?

91

(To je zbirka knjig - dokumentacije z navodili glede uvajanja in kakovostnega upravljanja s storitvami informacijske tehnologije. Izhaja iz mednarodnih standardov družine ISO. Princip: načrtovanje, prenos, delovanje storitve-ves čas pa nenehno izboljševanje?)

5. Ali imate v vašem podjetju posebej določeno osebo ali skupino oseb, ki skrbijo za izvajanje informacijske varnosti?

(Da/ne/imajo določene osebe poleg drugih del tudi to nalogo/ne vem…)

6. Ali menite, da so podatki strank dobro zavarovani v informacijskem sistemu vašega podjetja in da imajo do elektronskih podatkov dostop samo določeni zaposleni, kateri jih potrebujejo pri svojem delu (da je vzpostavljen princip: need to know)?.

(Npr. Da/ne/ne v vseh segmentih/ponekod ni možno vzpostaviti tega sistema …)

7. Ali so po vašem mnenju izobraževanja zaposlenih o informacijski varnosti dobro organizirana in kako? Periodično, 1x dejanje….?

(Npr: Obvestila po mailu, predavanja, udeležba na seminarjih, objava dokumentacije na strežnikih, ki so dostopni vsem zaposlenim, posebej izobraževanja za ključne skupine zaposlenih, obvezno izpolnjevanje vprašalnika …)

Vir: lasten